โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0

การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0

มีการเผยแพร่ระบบสำหรับการจับ จัดเก็บ และจัดทำดัชนีแพ็กเก็ตเครือข่าย Arkime 5.0 โดยมีเครื่องมือสำหรับการประเมินกระแสการรับส่งข้อมูลด้วยภาพและค้นหาข้อมูลที่เกี่ยวข้องกับกิจกรรมเครือข่าย เดิมโครงการนี้ได้รับการพัฒนาโดย AOL โดยมีเป้าหมายเพื่อสร้างการทดแทนแบบเปิดสำหรับแพลตฟอร์มการประมวลผลแพ็กเก็ตเครือข่ายเชิงพาณิชย์ที่รองรับการใช้งานบนเซิร์ฟเวอร์และสามารถปรับขนาดเพื่อประมวลผลการรับส่งข้อมูลด้วยความเร็วสิบกิกะบิตต่อวินาที โค้ดส่วนประกอบการจับการรับส่งข้อมูลเขียนด้วยภาษา C และมีการใช้อินเทอร์เฟซใน Node.js/JavaScript ซอร์สโค้ดถูกแจกจ่ายภายใต้ลิขสิทธิ์ Apache 2.0 รองรับการทำงานบน Linux และ FreeBSD แพ็คเกจสำเร็จรูปเตรียมไว้สำหรับ Arch Linux, RHEL/CentOS และ Ubuntu

Arkime มีเครื่องมือสำหรับจับและจัดทำดัชนีการรับส่งข้อมูล PCAP และยังมีเครื่องมือสำหรับการเข้าถึงข้อมูลที่จัดทำดัชนีอย่างรวดเร็ว การใช้รูปแบบ PCAP มาตรฐานช่วยลดความยุ่งยากในการผสานรวมกับเครื่องวิเคราะห์การรับส่งข้อมูลที่มีอยู่ เช่น Wireshark ปริมาณข้อมูลที่จัดเก็บจะถูกจำกัดด้วยขนาดของอาร์เรย์ดิสก์ที่มีอยู่เท่านั้น ข้อมูลเมตาของเซสชันได้รับการจัดทำดัชนีในคลัสเตอร์ตามเครื่องมือ Elasticsearch หรือ OpenSearch ส่วนประกอบการจับปริมาณข้อมูลทำงานในโหมดมัลติเธรด และแก้ไขงานการตรวจสอบ การเขียนดัมพ์ PCAP ลงดิสก์ แยกวิเคราะห์แพ็กเก็ตที่ดักจับ และส่งข้อมูลเมตาเกี่ยวกับเซสชัน (SPI, การตรวจสอบแพ็กเก็ตแบบมีสถานะ) และโปรโตคอลไปยังคลัสเตอร์ Elasticsearch/OpenSearch สามารถจัดเก็บไฟล์ PCAP ในรูปแบบที่เข้ารหัสได้

เพื่อวิเคราะห์ข้อมูลที่สะสม มีการเสนออินเทอร์เฟซเว็บที่ให้คุณนำทาง ค้นหา และส่งออกตัวอย่าง เว็บอินเทอร์เฟซมีโหมดการรับชมที่หลากหลาย ตั้งแต่สถิติทั่วไป แผนที่การเชื่อมต่อ และกราฟภาพพร้อมข้อมูลเกี่ยวกับการเปลี่ยนแปลงกิจกรรมเครือข่าย ไปจนถึงเครื่องมือสำหรับศึกษาแต่ละเซสชัน การวิเคราะห์กิจกรรมในบริบทของโปรโตคอลที่ใช้ และการแยกวิเคราะห์ข้อมูลจากการถ่ายโอนข้อมูล PCAP นอกจากนี้ยังมีการจัดเตรียม API ที่ช่วยให้คุณสามารถส่งข้อมูลเกี่ยวกับแพ็กเก็ตที่บันทึกไว้ในรูปแบบ PCAP และเซสชันที่แยกส่วนในรูปแบบ JSON ไปยังแอปพลิเคชันบุคคลที่สาม

การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0

ในเวอร์ชันใหม่:

  • เพิ่มความสามารถในการส่งคำขอค้นหาข้อมูลแบบรวมผ่านบริการ Cont3xt เพื่อรวบรวมข้อมูลที่มีอยู่ในโอเพ่นซอร์สต่างๆ (OSINT) พร้อมกันเกี่ยวกับวัตถุต่างๆ
    การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0
  • เพิ่มการรองรับวิธีพิมพ์ลายนิ้วมือการรับส่งข้อมูล JA4 และ JA4+ เพื่อระบุโปรโตคอลเครือข่ายและแอปพลิเคชัน
    การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0
  • การออกแบบบล็อกพร้อมข้อมูลโดยละเอียดเกี่ยวกับเซสชันมีการเปลี่ยนแปลง ซึ่งช่วยลดพื้นที่ที่ไม่ได้ใช้ให้เหลือน้อยที่สุด และใช้เค้าโครงสองคอลัมน์สำหรับหน้าจอขนาดใหญ่
    การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0
  • เพิ่มบล็อกแบบเลื่อนลงในแท็บไฟล์ ประวัติ และสถิติสำหรับการค้นหาพร้อมกันในหลายอินสแตนซ์ของอินเทอร์เฟซสำหรับการดูสถิติ (ตัวแสดง)
    การเปิดตัวระบบสร้างดัชนีการรับส่งข้อมูลเครือข่าย Arkime 5.0
  • ระบบการอนุญาตได้รับการรวมเป็นหนึ่งและแยกออกเป็นโมดูลแยกต่างหาก ซึ่งปัจจุบันใช้ในแอปพลิเคชัน Arkime ทั้งหมด แทนที่จะเป็นโหมดการอนุญาตที่ไม่ระบุชื่อ วิธีการแยกย่อยจะถูกใช้ตามค่าดีฟอลต์ เพิ่มโหมดการอนุญาตใหม่แล้ว: พื้นฐาน, แบบฟอร์ม, พื้นฐาน+แบบฟอร์ม, พื้นฐาน+oidc, headerOnly, ส่วนหัว+ย่อย และส่วนหัว+พื้นฐาน
  • แอปพลิเคชันทั้งหมดถูกถ่ายโอนไปยังระบบย่อยการกำหนดค่าแบบรวมที่รองรับการตั้งค่าการประมวลผลในรูปแบบที่แตกต่างกัน (ini, json, yaml) และสามารถโหลดการตั้งค่าจากแหล่งต่าง ๆ เช่น จากดิสก์ ผ่านเครือข่ายผ่าน HTTPS หรือจาก OpenSearch/Elasticsearch .
  • เพิ่มการรองรับสำหรับการนำเข้า PCAP dump ที่บันทึกไว้ (ออฟไลน์) และดาวน์โหลดผ่าน URL ผ่าน HTTPS หรือจากที่เก็บข้อมูล Amazon S3 โดยไม่จำเป็นต้องบันทึกไว้บนระบบภายในเครื่องก่อน

ที่มา: opennet.ru

เพิ่มความคิดเห็น