Alig néhány nappal ezelőtt jelentették be a "Zeek 8.0" megjelenését, a korábban Bro néven ismert hálózati forgalomelemző és behatolásérzékelő rendszer új verzióját. Ez a biztonsági és fejlett megfigyelési környezetekben széles körben elismert szoftver ötvözi a teljesítményt, a rugalmasságot és a skálázhatóságot a nagy sávszélességű hálózatokban, és továbbra is az egyik legátfogóbb eszköz a biztonsággal kapcsolatos protokollok és események mélyreható elemzéséhez.
Kialakítása lehetővé teszi a hálózati aktivitás részletes rögzítését, a hangsúlyt az anomáliadetektálásra és az egyedi szabályzatok kidolgozására helyezve. Ennek eléréséhez egy speciális szkriptnyelvet tartalmaz, amely lehetővé teszi az egyes szervezetek infrastruktúrájához igazított monitorozási forgatókönyvek meghatározását.
Moduláris architektúrájának köszönhetően a Zeek számos alkalmazásszintű protokollt képes elemezni, nemcsak az alapvető hálózati fejléceket, hanem a kapcsolat állapotát és a forgalmi viselkedést is kiértékelve. Ez stratégiai erőforrássá teszi a biztonságmenedzsmentben és a digitális forenzikában.
Zeek 8.0 kiemelt részei
Megérkezett a 8.0.0-s verzió technikai fejlesztésekkel, amelyek kibővítik az egyik legfontosabb funkciót a Lehetőség a hálózati folyamat tuple azonosítók konfigurálására bővítmények használatával, amely megakadályozza az ütközéseket az összetett környezetekben lévő folyamatok szétválasztásával. Most az IP-címek, portok és protokollok mellett VLAN-címkéknek vagy beágyazott forgalmi azonosítóknak, például a VXLAN-nak és a Geneve-nek tekinthetők.
Egy másik változás a ZeroMQ-alapú klaszter backend bevezetése, amely már elő van készítve éles környezetekre. Bár a Broker háttérrendszer továbbra is az alapértelmezett, A jövő a ZeroMQ-ra való teljes átállás felé mutat, ami leegyszerűsíti az üzenetek terjesztését közbenső proxy nélkül.
Az analizátorok területén, A Zeek olyan kulcsfontosságú protokollokat támogat, mint a Redis, hogy mostantól dedikált tranzakciónaplóval és SMTP-fejlesztésekkel rendelkezik, Ez lehetővé teszi az e-mailek .eml formátumú kinyerését elemzés céljából. Továbbfejlesztették az FTP TLS Auth-tal való támogatását, a NAPTR rekordok DNS-ben történő észlelését és a PPPoE munkamenet-azonosítók láthatóságát is.
Utolsó pillanatban végrehajtott változtatások és technikai kiigazítások
A Zeek 8.0.0-ra való ugrás jelentős szerkezeti változásokkal is jár. Ettől a kiadástól kezdve a rendszer felépítése a ZeroMQ könyvtártól függ, Ez megnyitja az utat a végleges átálláshoz az új klaszter-háttérrendszerre. Ezenkívül a Zeek és almoduljai mostantól C++20-kompatibilis fordítókat igényelnek (minimum GCC 10, Clang 8 vagy Visual Studio 2022).
Egy másik releváns módosítás a a zeek::Span osztály lecserélése a standard std::span osztályra, mint a telemetriai alrendszert használó bővítményfejlesztőket érinti. A kódbázison is kiterjedt tisztításokat végeztek, eltávolítva a felesleges függőségeket, és a finomhangolás magában foglalja a kezelést is.
Tekintettel a naplókat, az analyzer.log és a dpd.log fájlokat egyesítették, És mostantól a kimeneti formátumok módosításának lehetősége elérhető a logschema csomagon keresztül, lehetővé téve a JSON vagy CSV használatát a hagyományos szöveges naplók mellett. Ezenkívül módosításokat végeztek az időbélyeg-kezelésben, ami javítja az események konzisztenciáját, bár ehhez a meglévő szkriptek módosítására lehet szükség.
Fejlett telemetria és új klaszterfunkciók
A Zeek klaszterkezelése is jelentős frissítést kapott. A ZeroMQ backenddel és a WebSocket API-val a Zeekctl hatékonyabban kommunikálhat az egyes csomópontokkal., így könnyebben végrehajthatóak a parancsok és figyelhető a teljesítmény.
A telemetria konfigurálható mérőszámokkal is bővült, amelyek lehetővé teszik a bejövő és kimenő események számának, méretének, sőt az azokat generáló szkriptek eredetének rögzítését is. Ennek a részletességnek köszönhetően optimalizálható a csomópontok terhelése és valós időben észlelhetők a szűk keresztmetszetek.
La A WebSocket API támogatást ad az X-Application-Name fejléchez, amely lehetővé teszi az alkalmazásonkénti specifikus mérőszámok azonosítását, és megkönnyíti a monitorozást elosztott környezetekben.
Végül ha érdekel, hogy többet tudjon meg róla erről a kiadásról ellenőrizheti a részleteket A következő linken.
Hogyan telepítsem a Zeek-et Linux-ra?
Azoknak, akik érdeklődnek a Zeek telepítése iránt a rendszerükön, tudniuk kell, hogy az előre elkészített bináris fájlokat a következőn keresztül kínálják: az openSUSE Build Service szolgáltatásból és elég a disztribúciót úgy kiválasztani, hogy az biztosítsa számunkra a telepítési parancsokat.
Például az Ubuntu 25.04 esetében:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_25.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_25.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
Vagy a te esetedben az Ubuntu 24.04 esetében:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null sudo apt update sudo apt install zeek
Az Arch Linux felhasználók esetében csak az AUR-tárat kell engedélyezni, és be kell írnia egy terminált:
yay -S zeekHa saját maga szeretné összeállítani a kódot, vagy többet szeretne megtudni, tekintse meg a Zeek dokumentációját a címen következő link.