Zeek: Narzędzie bezpieczeństwa sieci typu open source
Kilka miesięcy temu nasz partner Po instalacji Linuksa udostępniony tutaj na blogu post poświęcony Zeekowi, w którym podaje krótkie podsumowanie i odnosi się do jego charakterystyki, a także niektórych dodatkowych informacji. Powodem, dla którego o tym mowa jest to, że niedawno ogłoszono uruchomienie nowej wersji tego systemu analizy ruchu sieciowego i wykrywania włamań, osiągając nową wersję „Zeek 6.0”.
Dla tych, którzy wciąż nie wiedzą o Zeeku, Polecam przeczytanie artykułu naszego partnera, ponieważ wspaniale to wyjaśnia. Ale biorąc pod uwagę niektóre informacje, którymi podzielił się z nami na swoim blogu, możemy powiedzieć, że Zeek (wcześniej dystrybuowany pod nazwą Bro) jest platformą do analizy ruchu koncentruje się przede wszystkim, ale nie wyłącznie, na monitorowaniu zdarzeń związanych z bezpieczeństwem.
Platforma zapewnia moduły do analizowania i analizowania różnych protokołów sieciowych warstwy aplikacji, uwzględniający stan połączeń i pozwalający na wygenerowanie szczegółowego dziennika (archiwum) aktywności sieciowej.
W Zeek proponuje się język domenowy do pisania skryptów do monitorowania i wykrywania anomalii, z uwzględnieniem specyfiki konkretnych infrastruktur. System jest zoptymalizowany do użytku w sieciach o dużej przepustowości. Dostępny jest interfejs API do integracji z systemami informatycznymi innych firm i wymiany danych w czasie rzeczywistym.
Główne nowości Zeeka 6.0
W prezentowanej nowej wersji Zeek 6.0 jest to teraz podkreślone Dołączona wtyczka ZeekJS, oferuje nasz konfigurator pozwala używać języka JavaScript do skryptów, zamiast języka specyficznego dla domeny Zeeka. Dostęp JavaScript do Zeek API obejmuje ponad 500 zdarzeń, zmiennych i funkcji, a implementacja oparta jest na libnode (wariant C++ Node.js).
Kolejna zmiana, która się wyróżnia, to toe wprowadza wersję cmake, która nadchodzi wprowadza nowe API dla programistów wtyczek i usuwa wiele pozostałych kompilacji z Bro. Wspomniano, że warstwa kompatybilności jest nadal zachowywana, aby zachować funkcjonalność istniejącego kodu cmake wtyczek, ale wszyscy autorzy wtyczek powinni zwiększyć swoje wymagania dotyczące wersji cmake do 3.15, dopasowując się do Zeeka.
Oprócz tego podkreślono, żeZeek 6 kontynuuje dzieło który rozpoczął się w 5.2 do obsługi wbudowanych analizatorów z technologią Spicy i jest teraz w pełni zintegrowany z Zeek. Wspomniano, że analizatory protokołów Finger i Syslog zostały zmienione na Spicy.
z inne zmiany które wyróżniają się:
- ZeekControl obsługuje teraz wiele rejestratorów. Podczas konfigurowania wielu węzłów rejestru
W pliku node.cfg ZeekControl domyślnie logika pliku dziennika dodaje nazwę rejestratora jako sufiks do nazwy pliku. - Skrypty mają teraz możliwość ładowania danych w formacie JSON (dodana funkcja from_json()).
- Dodano obsługę utrzymywania i archiwizowania wielu dzienników powiązanych z różnymi archiwami w tym samym czasie w zeekctl i zeek-archiver.
- Zakresy intranetowe, takie jak 192.168.0.0/16, są teraz domyślnie traktowane i rejestrowane jako adresy lokalne.
- Domyślnie funkcja scentralizowanego zbierania metryk jest wyłączona (wcześniej węzeł kontrolny na porcie sieciowym 9911 odbierał metryki przez Prometheus).
- Zdarzenia Zeek zawierają teraz sieciowe znaczniki czasu. W przypadku zaplanowanych wydarzeń sygnatura czasowa
reprezentuje czas sieciowy, na który zaplanowane jest zdarzenie; W przeciwnym razie,
to czas sieciowy w momencie tworzenia zdarzenia.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o tym wydaniu, możesz sprawdzić szczegóły W poniższym linku.
Jak zainstalować Zeek w systemie Linux?
Osoby zainteresowane możliwością zainstalowania Zeeka w swoim systemie powinny wiedzieć, że oferowane są gotowe pliki binarne z usługi kompilacji openSUSE i wystarczy wybrać dystrybucję tak, aby udostępniała nam polecenia instalacyjne.
Na przykład w przypadku Ubuntu 23.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_23.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_23.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
W przypadku tych, którzy są użytkownikami Arch Linux, powinni mieć włączone tylko repozytorium AUR i wpisać w terminalu:
yay -S zeek
Jeśli chcesz samodzielnie skompilować kod lub dowiedzieć się więcej, możesz zapoznać się z dokumentacją Zeek pod adresem następujący link.