Son önemli şubenin oluşumundan yedi yıl sonra
Zeek, öncelikle güvenlik olayının izlenmesine odaklanan ancak bununla sınırlı olmayan bir trafik analizi platformudur. Bağlantıların durumunu dikkate alarak ve ağ etkinliğinin ayrıntılı bir günlüğünün (arşivinin) oluşturulmasına olanak tanıyan, uygulama düzeyindeki çeşitli ağ protokollerini analiz etmek ve ayrıştırmak için modüller sağlanmıştır. Belirli altyapıların özelliklerini dikkate alarak izleme komut dosyalarının yazılması ve anormalliklerin belirlenmesi için alana özgü bir dil önerilmektedir. Sistem, yüksek bant genişliğine sahip ağlarda kullanım için optimize edilmiştir. Üçüncü taraf bilgi sistemleriyle entegrasyon ve gerçek zamanlı veri alışverişi için bir API sağlanmıştır.
В
- NTP protokolü için analizör tamamen yeniden yazıldı ve MQTT için yeni bir analizör eklendi. DNS, RDP, SMB ve TLS analizörlerinin yetenekleri genişletildi. DNS için SPF kayıtlarının ayrıştırılması sağlanır ve DNSSEC - RRSIG, DNSKEY, DS, NSEC ve NSEC3 için ve bunlarla ilişkili olayların seçimi sağlanır. SMB analizörüne SMB 3.x protokolü desteği ve TLS için TLS 1.3 desteği eklendi;
- VXLAN tünelleri içinde iletilen akışların kapsülden çıkarılması desteği uygulandı;
- NFLOG türündeki bağlantılar için destek eklendi;
- Çıkarılan verileri UTF8 kodlamasında günlüğe kaydetme yeteneği eklendi;
- Komut dosyası diline anonim işlevlerin kapatılması desteği eklendi, tabloları anahtar-değer biçiminde numaralandırmak için bir operatör (“for ( anahtar, t cinsinden değer)”) eklendi, Python tarzı vektör ayırma işlemleri uygulandı (“v[2:4]”), büyük ikili veri kümelerindeki dize maskelerinin hızlı eşleştirilmesi için yeni bir yapı olan paraglob önerilmiştir;
- Dosya yollarında, ayarlarda, paketlerde, komut dosyalarında, ad alanlarında ve işlevlerde "bro" ismine yapılan tüm referanslar "zeek" ile değiştirildi (geriye dönük uyumluluk için eski adlara yönelik destek tutuldu). bro-pkg paket yöneticisi zkg olarak yeniden adlandırıldı.
Kaynak: opennet.ru