Toleo la mfumo wa kunasa, kuhifadhi na kuorodhesha pakiti za mtandao Arkime 5.0 limechapishwa, likitoa zana za kutathmini mtiririko wa trafiki na kutafuta habari zinazohusiana na shughuli za mtandao. Mradi huo ulibuniwa awali na AOL kwa lengo la kuunda uingizwaji wazi wa majukwaa ya usindikaji ya pakiti za mtandao wa kibiashara ambayo inasaidia kupelekwa kwenye seva zake na inaweza kuongeza kuchakata trafiki kwa kasi ya makumi ya gigabiti kwa sekunde. Msimbo wa sehemu ya kukamata trafiki umeandikwa katika C, na kiolesura kinatekelezwa katika Node.js/JavaScript. Msimbo wa chanzo unasambazwa chini ya leseni ya Apache 2.0. Inasaidia kazi kwenye Linux na FreeBSD. Vifurushi vilivyotengenezwa tayari kwa Arch Linux, RHEL/CentOS na Ubuntu.
Arkime inajumuisha zana za kunasa na kuorodhesha trafiki ya PCAP, na pia hutoa zana za ufikiaji wa haraka wa data iliyoorodheshwa. Utumiaji wa umbizo la kawaida la PCAP hurahisisha sana ujumuishaji na vichanganuzi vilivyopo vya trafiki kama vile Wireshark. Kiasi cha data iliyohifadhiwa ni mdogo tu kwa ukubwa wa safu ya disk inapatikana. Metadata ya kipindi imewekwa katika faharasa katika kundi kulingana na injini ya Elasticsearch au OpenSearch. Kipengele cha kunasa trafiki hufanya kazi katika hali ya nyuzi nyingi na kutatua kazi za ufuatiliaji, kuandika utupaji wa PCAP kwenye diski, kuchanganua pakiti zilizonaswa na kutuma metadata kuhusu vipindi (SPI, ukaguzi wa pakiti za Serikali) na itifaki kwa nguzo ya Elasticsearch/OpenSearch. Inawezekana kuhifadhi faili za PCAP katika fomu iliyosimbwa.
Ili kuchambua habari iliyokusanywa, kiolesura cha wavuti kinatolewa ambacho hukuruhusu kuvinjari, kutafuta na kuuza nje sampuli. Kiolesura cha wavuti hutoa njia kadhaa za kutazama - kutoka kwa takwimu za jumla, ramani za uunganisho na grafu zinazoonekana na data juu ya mabadiliko katika shughuli za mtandao hadi zana za kusoma vipindi vya mtu binafsi, kuchanganua shughuli katika muktadha wa itifaki zilizotumiwa na kuchanganua data kutoka kwa taka za PCAP. API pia imetolewa ambayo inakuruhusu kutuma data kuhusu pakiti zilizonaswa katika umbizo la PCAP na vipindi vilivyotenganishwa katika umbizo la JSON kwa programu za watu wengine.
Katika toleo jipya:
- Imeongeza uwezo wa kutuma maombi ya utafutaji ya pamoja ya maelezo kupitia huduma ya Cont3xt ili kukusanya taarifa zinazopatikana katika vyanzo mbalimbali vya wazi (OSINT) kwa wakati mmoja kuhusu vitu kadhaa.
- Usaidizi ulioongezwa kwa mbinu za alama za vidole za JA4 na JA4+ ili kutambua itifaki na programu za mtandao.
- Muundo wa kuzuia na maelezo ya kina kuhusu kikao umebadilishwa, ambayo hupunguza nafasi isiyotumiwa na kutekeleza mpangilio wa safu mbili kwa skrini kubwa.
- Vizuizi kunjuzi vimeongezwa kwenye vichupo vya Faili, Historia na Takwimu kwa ajili ya kutafuta kwa wakati mmoja katika matukio kadhaa ya kiolesura cha takwimu za kutazama (Kitazamaji).
- Mfumo wa uidhinishaji umeunganishwa na kugawanywa katika moduli tofauti, ambayo sasa inatumika katika programu zote za Arkime. Badala ya modi ya uidhinishaji isiyojulikana, njia ya muhtasari hutumiwa kwa chaguo-msingi. Njia mpya za uidhinishaji zimeongezwa: msingi, umbo, umbo+msingi, basic+oidc, headerPekee, header+digest na header+msingi.
- Programu zote zimehamishiwa kwenye mfumo mdogo wa usanidi uliounganishwa ambao unaauni mipangilio ya uchakataji katika miundo tofauti (ini, json, yaml) na ina uwezo wa kupakia mipangilio kutoka kwa vyanzo tofauti, kwa mfano, kutoka kwa diski, kupitia mtandao kupitia HTTPS au kutoka OpenSearch/Elasticsearch. .
- Usaidizi ulioongezwa wa kuleta dampo za PCAP zilizohifadhiwa (nje ya mtandao) na kuzipakua kupitia URL kupitia HTTPS au kutoka kwa hifadhi ya Amazon S3, bila hitaji la kuzihifadhi kwanza kwenye mfumo wa ndani.
Chanzo: opennet.ru