Выпуск анализатора трафика Zeek 6.0.0

21.07.2023 08:06

Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 6.0.0 , ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.

Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.

В новом выпуске:

В основной состав включён плагин ZeekJS, позволяющий использовать язык JavaScript для разработки сценариев, вместо специфичного для Zeek предметно-ориентированного языка. Реализация основана на libnode (вариант Node.js на C++). Предоставляемый для JavaScript доступ к API Zeek охватывает более чем 500 событий, переменных и функций.
Реализована встроенная поддержка "Community ID", позволяющая прикреплять метки к отдельным сетевым потокам, используя в качестве идентификатора хэш от адресов и портов назначения и источника.
В основной состав включены возможности плагина spicy-plugin, позволяющего создавать анализаторы на предметно-ориентированном языке Spicy, оптимизированном для разбора протоколов и структурированных данных. На использование Spicy переведены парсеры протоколов Finger и Syslog.
В скриптах предоставлена возможность загрузки данных в формате JSON (добавлена функция from_json()).
В zeekctl и zeek-archiver добавлена поддержка ведения и архивирования одновременно нескольких логов, связанных с разными файлами.
Диапазоны интранет сетей, подобные 192.168.0.0/16, теперь по умолчанию обрабатываются и отражаются в логе как локальные адреса.
По умолчанию отключена функциональность централизованного сбора метрик (ранее на управляющем узле на сетевом порту 9911 осуществлялся приём метрик, использующий Prometheus).
Переработана система сборки на основе CMake.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59471-zeek

Ключевые слова: zeek, monitoring, traffic

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Аноним (1), 09:23, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Название Bro было лучше.

1.3, Аноним (3), 10:10, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Это же два самых известных анализатора трафика: зик и шарко

2.9, Аноним (-), 16:58, 21/07/2023 [^] [^^] [^^^] [ответить]	–1 +/–
> Это же два самых известных анализатора трафика: зик и шарко Эй! А куда дели tcpdump? Он чуть ли не по умолчанию есть на куче разных систем.

3.12, Аноним2 (?), 01:52, 22/07/2023 [^] [^^] [^^^] [ответить]	+/–
Так он даспер, а не анализатор. Даже tshark дампер, хотя он на голову выше tcpdump'а в плане разбора.

3.14, Аноним (14), 08:45, 22/07/2023 [^] [^^] [^^^] [ответить]	+/–
Скажи нам, кто тебя научил, что tcpdump это анализатор?

4.16, Аноним (-), 12:19, 22/07/2023 Скрыто ботом-модератором [к модератору]	+/–

4.17, Николай (??), 12:41, 23/07/2023 [^] [^^] [^^^] [ответить]	+/–
tcpdump'у для анализа траффика нужен grep. Вот тогда анализ начинается серьезный!

1.4, YetAnotherOnanym (ok), 10:21, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> В основной состав включён плагин ZeekJS, позволяющий использовать язык JavaScript для разработки сценариев, вместо специфичного для Zeek предметно-ориентированного языка Это они зря. Во-первых, специальный инструмент лучше, чем инструмент общего назначения. Во-вторых, есть плагин для spicy, кроме собственного языка. И в-третьих, тех, кто неспособен выучить больше одного языка (и зачастую гордится этим), надо держать от своих проектов подальше.

2.5, Пушок (?), 10:34, 21/07/2023 [^] [^^] [^^^] [ответить]	+/–
Мне неудобно, что будто бы поучаю, но эти три пункта не только не подтверждают, что действительно «зря», но даже собственно аргументами не являются.

3.7, Мимокрокодил (?), 16:37, 21/07/2023 [^] [^^] [^^^] [ответить]	+/–
Тут всецело зависит от того как интегрировали предметную область в язык. Если плохо, то пользы от языка общего назначения почти никакой. Если нормально и нет специфических потребностей как, к примеру, исключительно работа по схеме событий и реакции на них, тогда замена действительно может принести пользу.

2.8, по (?), 16:46, 21/07/2023 [^] [^^] [^^^] [ответить]	+/–
чушь какая, должен ли безопастник писать модуль для чужой программы или программист должен дать безопастнику готовой написаный на хрен пойми чем. это риторический вопрос, очевидно в разных ситуациях он будет решаться по разному и это добавляет гибкости системе, по вашему, так захаркодить можно вообще все, и перекомпилировать утилиту пинга, что бы попинговать новый адрес, ну да, и ядро со вшитыми адресами, вот житуха бы была, зато безопастность! хрен поменяешь арп запись, никакие инжекты невозможны

1.6, Самый умный из вас (?), 14:46, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Новый лого, конечно... в тренде, так сказать)

2.11, Аноним (11), 19:11, 21/07/2023 [^] [^^] [^^^] [ответить]	–1 +/–
В контексте вторжений прям метаирония

игнорирование участников | лог модерирования

Добавить комментарий

Текст: