เจ็ดปีหลังจากการก่อตั้งสาขาสำคัญสุดท้าย
Zeek เป็นแพลตฟอร์มการวิเคราะห์การรับส่งข้อมูลที่เน้นแต่ไม่จำกัดเพียงการตรวจสอบเหตุการณ์ด้านความปลอดภัย โมดูลมีไว้สำหรับการวิเคราะห์และแยกวิเคราะห์โปรโตคอลเครือข่ายระดับแอปพลิเคชันต่างๆ โดยคำนึงถึงสถานะของการเชื่อมต่อ และอนุญาตให้สร้างบันทึกโดยละเอียด (เก็บถาวร) ของกิจกรรมเครือข่าย มีการเสนอภาษาเฉพาะโดเมนสำหรับการเขียนสคริปต์ตรวจสอบและระบุความผิดปกติ โดยคำนึงถึงลักษณะเฉพาะของโครงสร้างพื้นฐานเฉพาะ ระบบได้รับการปรับให้เหมาะสมสำหรับการใช้งานในเครือข่ายแบนด์วิธสูง API มีไว้เพื่อการบูรณาการกับระบบข้อมูลของบุคคลที่สามและการแลกเปลี่ยนข้อมูลแบบเรียลไทม์
В
- เครื่องวิเคราะห์สำหรับโปรโตคอล NTP ได้รับการเขียนใหม่ทั้งหมดและมีการเพิ่มเครื่องวิเคราะห์ใหม่สำหรับ MQTT ความสามารถของตัววิเคราะห์สำหรับ DNS, RDP, SMB และ TLS ได้รับการขยายแล้ว สำหรับ DNS จะมีการแยกวิเคราะห์ระเบียน SPF และสำหรับ DNSSEC - RRSIG, DNSKEY, DS, NSEC และ NSEC3 และการเลือกเหตุการณ์ที่เกี่ยวข้อง เพิ่มการรองรับโปรโตคอล SMB 3.x ให้กับตัววิเคราะห์ SMB และรองรับ TLS 1.3 สำหรับ TLS
- มีการนำการสนับสนุน deencapsulation ของสตรีมที่ส่งภายในอุโมงค์ VXLAN ไปใช้แล้ว
- เพิ่มการรองรับลิงก์ประเภท NFLOG
- เพิ่มความสามารถในการบันทึกข้อมูลที่แยกออกมาในบันทึกในการเข้ารหัส UTF8
- เพิ่มการรองรับการปิดฟังก์ชั่นที่ไม่ระบุชื่อในภาษาสคริปต์แล้ว มีการเพิ่มตัวดำเนินการสำหรับการแจกแจงตารางในรูปแบบคีย์-ค่า (“สำหรับ (คีย์, ค่าใน t)”) การดำเนินการแยกเวกเตอร์สไตล์ Python ได้ถูกนำมาใช้ (“v[2:4]”) ซึ่งเป็นโครงสร้างใหม่ paraglob ได้รับการเสนอสำหรับการจับคู่สตริงมาสก์อย่างรวดเร็วในชุดข้อมูลไบนารีขนาดใหญ่
- การอ้างอิงถึงชื่อ "bro" ทั้งหมดในพาธไฟล์ การตั้งค่า แพ็คเกจ สคริปต์ เนมสเปซ และฟังก์ชันต่างๆ ถูกแทนที่ด้วย "zeek" (รองรับชื่อเก่าๆ ที่ยังคงอยู่สำหรับความเข้ากันได้แบบย้อนหลัง) ตัวจัดการแพ็คเกจ bro-pkg ถูกเปลี่ยนชื่อเป็น zkg
ที่มา: opennet.ru