Arkime 5.0 tarmoq paketlarini olish, saqlash va indekslash tizimining relizi nashr etildi, u trafik oqimlarini vizual baholash va tarmoq faoliyati bilan bog'liq ma'lumotlarni qidirish uchun vositalarni taqdim etadi. Loyiha dastlab AOL tomonidan ishlab chiqilgan bo'lib, u o'z serverlarida joylashtirishni qo'llab-quvvatlaydigan va sekundiga o'nlab gigabit tezlikda trafikni qayta ishlashga imkon beradigan tijorat tarmoq paketlarini qayta ishlash platformalarini ochiq almashtirishni yaratish maqsadida ishlab chiqilgan. Trafikni yozib olish komponentining kodi C tilida yozilgan va interfeys Node.js/JavaScript da amalga oshirilgan. Manba kodi Apache 2.0 litsenziyasi ostida tarqatiladi. Linux va FreeBSD-da ishlashni qo'llab-quvvatlaydi. Arch Linux, RHEL/CentOS va Ubuntu uchun tayyor paketlar tayyorlangan.
Arkime PCAP trafigini yozib olish va indekslash vositalarini o'z ichiga oladi, shuningdek, indekslangan ma'lumotlarga tezkor kirish uchun vositalarni taqdim etadi. Standart PCAP formatidan foydalanish Wireshark kabi mavjud trafik analizatorlari bilan integratsiyani sezilarli darajada osonlashtiradi. Saqlangan ma'lumotlar hajmi faqat mavjud disk massivining o'lchami bilan cheklangan. Seans meta-ma'lumotlari Elasticsearch yoki OpenSearch tizimiga asoslangan klasterda indekslanadi. Trafikni to'plash komponenti ko'p tarmoqli rejimda ishlaydi va monitoring, PCAP dumplarini diskga yozish, olingan paketlarni tahlil qilish va sessiyalar (SPI, Stateful paket tekshiruvi) va Elasticsearch/OpenSearch klasteriga protokollar haqidagi metama'lumotlarni yuborish vazifalarini hal qiladi. PCAP fayllarini shifrlangan shaklda saqlash mumkin.
Yig'ilgan ma'lumotni tahlil qilish uchun navigatsiya qilish, qidirish va namunalarni eksport qilish imkonini beruvchi veb-interfeys taklif etiladi. Veb-interfeys bir nechta ko'rish rejimlarini taqdim etadi - umumiy statistika, ulanish xaritalari va tarmoq faolligidagi o'zgarishlar to'g'risidagi ma'lumotlarga ega vizual grafiklardan tortib individual seanslarni o'rganish, foydalanilgan protokollar kontekstida faoliyatni tahlil qilish va PCAP dumplaridan ma'lumotlarni tahlil qilish vositalarigacha. PCAP formatida olingan paketlar va JSON formatidagi qismlarga ajratilgan seanslar haqidagi maΚΌlumotlarni uchinchi tomon ilovalariga yuborish imkonini beruvchi API ham taqdim etilgan.
Yangi versiyada:
- Bir vaqtning o'zida bir nechta ob'ektlar haqida turli xil ochiq manbalarda (OSINT) mavjud ma'lumotlarni to'plash uchun Cont3xt xizmati orqali ma'lumot uchun qo'shma qidiruv so'rovlarini yuborish imkoniyati qo'shildi.
- Tarmoq protokollari va ilovalarini aniqlash uchun JA4 va JA4+ trafik barmoq izlarini olish usullari qo'shildi.
- Seans haqida batafsil ma'lumotga ega bo'lgan blokning dizayni o'zgartirildi, bu foydalanilmagan maydonni minimallashtiradi va katta ekranlar uchun ikki ustunli tartibni amalga oshiradi.
- Statistikani ko'rish interfeysining bir nechta misollarida bir vaqtning o'zida qidirish uchun "Fayllar", "Tarix" va "Statistikalar" yorliqlariga ochiladigan bloklar qo'shildi (Tomoshabin).
- Avtorizatsiya tizimi birlashtirildi va alohida modulga ajratildi, endi u barcha Arkime ilovalarida qo'llaniladi. Anonim avtorizatsiya rejimi o'rniga sukut bo'yicha dayjest usuli qo'llaniladi. Yangi avtorizatsiya rejimlari qoΚ»shildi: asosiy, shakl, asosiy+shakl, asosiy+oidc, headerOnly, header+digest va header+aso.
- Barcha ilovalar turli formatdagi (ini, json, yaml) sozlamalarni qayta ishlashni qo'llab-quvvatlaydigan va sozlamalarni turli manbalardan, masalan, diskdan, HTTPS orqali tarmoq orqali yoki OpenSearch/Elasticsearch-dan yuklay oladigan yagona konfiguratsiya quyi tizimiga o'tkazildi. .
- Saqlangan (oflayn) PCAP dumplarini import qilish va ularni HTTPS orqali URL orqali yoki Amazon S3 xotirasidan yuklab olish uchun qoΚ»shimcha yordam, avval ularni mahalliy tizimda saqlashni talab qilmasdan.
Manba: opennet.ru