ProHoster > Блог > Новини інтернету > Випуск аналізатора трафіку Zeek 3.0.0

Випуск аналізатора трафіку Zeek 3.0.0

Через сім років з моменту формування минулої значної гілки представлений реліз системи аналізу трафіку та виявлення мережевих вторгнень Zeek 3.0.0 , що раніше поширювалася під ім'ям Bro. Це перший значний випуск після перейменування проекту, вчиненого оскільки ім'я Bro асоціювалося з однойменною маргінальною субкультурою, а не як задуманий авторами натяк на «великого брата» з роману Джорджа Оруелла «1984». Код системи написаний мовою С++ та поширюється під ліцензією BSD.

Zeek є платформою для аналізу трафіку, орієнтованою в першу чергу на відстеження подій, пов'язаних з безпекою, але не обмежується цим застосуванням. Надаються модулі для аналізу та розбору різних мережевих протоколів рівня додатків, що враховують стан з'єднань та дозволяють формувати докладний журнал (архів) мережної активності. Пропонується предметно-орієнтована мова для написання сценаріїв моніторингу та виявлення аномалій з урахуванням специфіки конкретних інфраструктур. Система оптимізована для використання в мережах із великою пропускною здатністю. Надається API для інтеграції зі сторонніми інформаційними системами та обміну даними в режимі реального часу.

В новому випуску:

  • Повністю переписаний аналізатор протоколу NTP і додано новий аналізатор MQTT. Розширено можливості аналізаторів для DNS, RDP, SMB та TLS. Для DNS забезпечено розбір записів SPF, а для DNSSEC - RRSIG, DNSKEY, DS, NSEC та NSEC3 та виділення пов'язаних з ними подій. У аналізатор SMB додано підтримку протоколу SMB 3.x, а TLS підтримка TLS 1.3;
  • Реалізовано підтримку деінкапсуляції потоків, що передаються всередині тунелів VXLAN;
  • Додано підтримку лінків з типом NFLOG;
  • Додано можливість збереження в лозі вилучених даних кодування UTF8;
  • У мову сценаріїв додано підтримку замикань для анонімних функцій, додано оператора перебору таблиць у форматі ключ-значення («for (key, value in t)»), реалізовано операції поділу векторів у стилі Python («v[2:4]»), запропоновано нову структуру paraglob для швидкого зіставлення рядкових масок у великих наборах бінарних даних;
  • Усі згадки імені «bro» у файлових шляхах, налаштуваннях, пакетах, скриптах, просторах імен та функціях замінені на «zeek» (підтримка старих імен збережена для забезпечення зворотної сумісності). Пакетний менеджер bro-pkg перейменований на zkg.

Джерело: opennet.ru

Додати коментар або відгук