تم إصدار Zeek 6.0 بالفعل وهذه هي أخبارها

قبل بضعة أشهر شريكنا تثبيت Linux Post شاركها هنا على المدونة منشور مخصص لزيك ، الذي يعطي فيه ملخصًا موجزًا ​​ويتناول خصائصه ، من بين بعض المعلومات الإضافية. وسبب الحديث عنها هو الإعلان عن إطلاق الإصدار الجديد من نظام تحليل حركة المرور على الشبكة وكشف التسلل مؤخرًا ، ووصل إلى نسخته الجديدة "Zeek 6.0".

بالنسبة لأولئك الذين ما زالوا لا يعرفون عن Zeek ، أوصي بقراءة مقال شريكنا لأنه يشرح ذلك بشكل رائع. لكن بأخذ بعض المعلومات التي شاركها معنا على مدونته ، يمكننا القول إن Zeek (تم توزيعه سابقًا تحت اسم Bro) هي عبارة عن منصة لتحليل حركة المرور تركز بشكل أساسي ، على سبيل المثال لا الحصر ، على مراقبة الأحداث المتعلقة بالأمن.

منصة يوفر وحدات لتحليل وتحليل بروتوكولات شبكة طبقة التطبيق المختلفة، مع مراعاة حالة الاتصالات والسماح لك بإنشاء سجل مفصل (أرشيف) لنشاط الشبكة.

في Zeek ، تم اقتراح لغة خاصة بالمجال لكتابة نصوص لرصد واكتشاف الحالات الشاذة ، مع مراعاة خصوصيات البنى التحتية المحددة. تم تحسين النظام للاستخدام في شبكات النطاق الترددي العالي. يتم توفير API للتكامل مع أنظمة المعلومات التابعة لجهات خارجية وتبادل البيانات في الوقت الفعلي.

الأخبار الرئيسية من Zeek 6.0

في هذا الإصدار الجديد من Zeek 6.0 الذي تم تقديمه ، تم تمييز ذلك الآن تم تضمين البرنامج المساعد ZeekJS ، أن يسمح لك باستخدام لغة JavaScript للنصوص البرمجية، بدلاً من لغة Zeek الخاصة بالمجال. يغطي وصول JavaScript إلى Zeek API أكثر من 500 حدث ومتغير ووظيفة ويستند التنفيذ إلى libnode (متغير C ++ من Node.js).

التغيير الآخر الذي يبرز هو ذلكيقدم e مراجعة لـ cmake ، والتي تصل إلى تقديم واجهة برمجة تطبيقات جديدة للمطورين من المكونات الإضافية ويزيل العديد من البنيات المتبقية من Bro. يُذكر أنه لا يزال يتم الاحتفاظ بطبقة توافق للحفاظ على تشغيل كود البرنامج المساعد cmake الحالي ، ولكن يجب على جميع مؤلفي الإضافات زيادة متطلبات إصدار cmake إلى 3.15 ، مطابقة لـ Zeek.

بالإضافة إلى ذلك ، تم تسليط الضوء على أنيواصل زيك 6 العمل التي بدأت في 5.2 لدعم أجهزة التحليل المضمنة باستخدام تقنية Spicy وهو الآن متكامل تمامًا مع Zeek. يذكر أنه تم تغيير محللي بروتوكول Finger و Syslog لاستخدام Spicy.

من تغييرات أخرى التي تبرز:

• يدعم ZeekControl الآن أجهزة تسجيل متعددة. عند تكوين عقد تسجيل متعددة
  في node.cfg الخاص بـ ZeekControl ، يضيف منطق ملف السجل ، بشكل افتراضي ، اسم المسجل كلاحقة لاسم الملف.
• تتمتع البرامج النصية الآن بالقدرة على تحميل البيانات بتنسيق JSON (تمت إضافته من الدالة from_json ()).
• دعم إضافي لصيانة وأرشفة سجلات متعددة مرتبطة بأرشيفات مختلفة في نفس الوقت في zeekctl و zeek-archiver.
• يتم الآن التعامل مع نطاقات الإنترانت مثل 192.168.0.0/16 وتسجيلها كعناوين محلية افتراضيًا.
• بشكل افتراضي ، يتم تعطيل المجموعة المركزية لوظائف المقاييس (سابقًا ، تلقت عقدة التحكم على منفذ الشبكة 9911 المقاييس عبر Prometheus).
• تحتوي أحداث Zeek الآن على طوابع زمنية للشبكة. للأحداث المجدولة ، الطابع الزمني
  يمثل وقت الشبكة الذي تمت جدولة الحدث فيه ؛ خلاف ذلك،
  هو وقت الشبكة وقت إنشاء الحدث.

أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول هذا الإصدار ، يمكنك التحقق من التفاصيل في الرابط التالي.

كيفية تثبيت Zeek على Linux؟

بالنسبة لأولئك المهتمين بالقدرة على تثبيت Zeek على نظامهم ، يجب أن يعلموا أن الثنائيات سابقة الإنشاء يتم تقديمها من خلالها من openSUSE Build Service ويكفي اختيار التوزيع بحيث يزودنا بأوامر التثبيت.

على سبيل المثال ، في حالة Ubuntu 23.04:

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_23.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_23.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek

في حالة أولئك الذين يستخدمون Arch Linux ، يجب أن يكون لديهم مستودع AUR فقط ممكّنًا ويكتبوا في Terminal:

yay -S zeek

إذا كنت ترغب في تجميع الكود بنفسك أو معرفة المزيد ، يمكنك الرجوع إلى وثائق Zeek على الرابط التالي.