ProHoster > Blog > internet haberleri > Zeek 3.0.0 trafik analizörü yayınlandı

Zeek 3.0.0 trafik analizörü yayınlandı

Son önemli şubenin oluşumundan yedi yıl sonra gönderilen trafik analizi ve ağ saldırı tespit sisteminin piyasaya sürülmesi Zeek 3.0.0 , daha önce Bro adı altında dağıtılıyordu. Bu, o zamandan bu yana ilk önemli sürüm. projeyi yeniden adlandırma, Bro adının aynı adı taşıyan marjinal alt kültürle ilişkilendirilmesi nedeniyle işlenmiştir ve yazarlar tarafından amaçlanan George Orwell'in "1984" romanındaki "Büyük Birader"e kasıtlı bir gönderme değildir. Sistem kodu C++ ile yazılmıştır ve tarafından dağıtıldı BSD lisansı altında.

Zeek, öncelikle güvenlik olayının izlenmesine odaklanan ancak bununla sınırlı olmayan bir trafik analizi platformudur. Bağlantıların durumunu dikkate alarak ve ağ etkinliğinin ayrıntılı bir günlüğünün (arşivinin) oluşturulmasına olanak tanıyan, uygulama düzeyindeki çeşitli ağ protokollerini analiz etmek ve ayrıştırmak için modüller sağlanmıştır. Belirli altyapıların özelliklerini dikkate alarak izleme komut dosyalarının yazılması ve anormalliklerin belirlenmesi için alana özgü bir dil önerilmektedir. Sistem, yüksek bant genişliğine sahip ağlarda kullanım için optimize edilmiştir. Üçüncü taraf bilgi sistemleriyle entegrasyon ve gerçek zamanlı veri alışverişi için bir API sağlanmıştır.

В yeni baskı:

  • NTP protokolü için analizör tamamen yeniden yazıldı ve MQTT için yeni bir analizör eklendi. DNS, RDP, SMB ve TLS analizörlerinin yetenekleri genişletildi. DNS için SPF kayıtlarının ayrıştırılması sağlanır ve DNSSEC - RRSIG, DNSKEY, DS, NSEC ve NSEC3 için ve bunlarla ilişkili olayların seçimi sağlanır. SMB analizörüne SMB 3.x protokolü desteği ve TLS için TLS 1.3 desteği eklendi;
  • VXLAN tünelleri içinde iletilen akışların kapsülden çıkarılması desteği uygulandı;
  • NFLOG türündeki bağlantılar için destek eklendi;
  • Çıkarılan verileri UTF8 kodlamasında günlüğe kaydetme yeteneği eklendi;
  • Komut dosyası diline anonim işlevlerin kapatılması desteği eklendi, tabloları anahtar-değer biçiminde numaralandırmak için bir operatör (“for ( anahtar, t cinsinden değer)”) eklendi, Python tarzı vektör ayırma işlemleri uygulandı (“v[2:4]”), büyük ikili veri kümelerindeki dize maskelerinin hızlı eşleştirilmesi için yeni bir yapı olan paraglob önerilmiştir;
  • Dosya yollarında, ayarlarda, paketlerde, komut dosyalarında, ad alanlarında ve işlevlerde "bro" ismine yapılan tüm referanslar "zeek" ile değiştirildi (geriye dönük uyumluluk için eski adlara yönelik destek tutuldu). bro-pkg paket yöneticisi zkg olarak yeniden adlandırıldı.

Kaynak: opennet.ru

Yorum ekle