Через сім років з моменту формування минулої значної гілки
Zeek є платформою для аналізу трафіку, орієнтованою в першу чергу на відстеження подій, пов'язаних з безпекою, але не обмежується цим застосуванням. Надаються модулі для аналізу та розбору різних мережевих протоколів рівня додатків, що враховують стан з'єднань та дозволяють формувати докладний журнал (архів) мережної активності. Пропонується предметно-орієнтована мова для написання сценаріїв моніторингу та виявлення аномалій з урахуванням специфіки конкретних інфраструктур. Система оптимізована для використання в мережах із великою пропускною здатністю. Надається API для інтеграції зі сторонніми інформаційними системами та обміну даними в режимі реального часу.
- Повністю переписаний аналізатор протоколу NTP і додано новий аналізатор MQTT. Розширено можливості аналізаторів для DNS, RDP, SMB та TLS. Для DNS забезпечено розбір записів SPF, а для DNSSEC - RRSIG, DNSKEY, DS, NSEC та NSEC3 та виділення пов'язаних з ними подій. У аналізатор SMB додано підтримку протоколу SMB 3.x, а TLS підтримка TLS 1.3;
- Реалізовано підтримку деінкапсуляції потоків, що передаються всередині тунелів VXLAN;
- Додано підтримку лінків з типом NFLOG;
- Додано можливість збереження в лозі вилучених даних кодування UTF8;
- У мову сценаріїв додано підтримку замикань для анонімних функцій, додано оператора перебору таблиць у форматі ключ-значення («for (key, value in t)»), реалізовано операції поділу векторів у стилі Python («v[2:4]»), запропоновано нову структуру paraglob для швидкого зіставлення рядкових масок у великих наборах бінарних даних;
- Усі згадки імені «bro» у файлових шляхах, налаштуваннях, пакетах, скриптах, просторах імен та функціях замінені на «zeek» (підтримка старих імен збережена для забезпечення зворотної сумісності). Пакетний менеджер bro-pkg перейменований на zkg.
Джерело: opennet.ru