Há poucos dias, foi anunciado o lançamento do "Zeek 8.0", a nova versão do sistema de análise de tráfego de rede e detecção de intrusão, anteriormente conhecido como Bro. Este software, amplamente reconhecido em ambientes de segurança e monitoramento avançado, combina potência, flexibilidade e escalabilidade em redes de alta largura de banda, permanecendo como uma das ferramentas mais completas para análise aprofundada de protocolos e eventos relacionados à segurança.
Seu design permite o registro detalhado da atividade da rede, com foco na detecção de anomalias e no desenvolvimento de políticas personalizadas. Para isso, inclui uma linguagem de script específica, que permite definir cenários de monitoramento adaptados à infraestrutura de cada organização.
Graças à sua arquitetura modular, o Zeek pode analisar uma ampla variedade de protocolos em nível de aplicação, avaliando não apenas cabeçalhos básicos de rede, mas também o status da conexão e o comportamento do tráfego. Isso o torna um recurso estratégico em gerenciamento de segurança e perícia digital.
Destaques do Zeek 8.0
Chega a versão 8.0.0 com melhorias técnicas que ampliam uma das funções mais relevantes é Possibilidade de configurar identificadores de tupla de fluxo de rede utilizando plugins, que evitam colisões ao separar fluxos em ambientes complexos. Agora, além de endereços IP, portas e protocolos, Eles podem ser considerados tags VLAN ou identificadores de tráfego encapsulados, como VXLAN e Geneve.
Outra mudança é o Introdução do backend de cluster baseado em ZeroMQ, que já está preparado para ambientes de produção. Embora o backend do Broker continue sendo o padrão, O futuro aponta para uma migração completa para ZeroMQ, o que simplificará a distribuição de mensagens sem a necessidade de um proxy intermediário.
No campo dos analisadores, O Zeek incorpora suporte para protocolos importantes como Redis, que agora conta com um log de transações dedicado e melhorias no SMTP, Isso permite que você extraia mensagens de e-mail no formato .eml para análise. O suporte para FTP com autenticação TLS, detecção de registros NAPTR no DNS e visibilidade do ID de sessão PPPoE também foram aprimorados.
Alterações de última hora e ajustes técnicos
O salto para o Zeek 8.0.0 também envolve mudanças estruturais significativas. A partir desta versão, a construção do sistema depende da biblioteca ZeroMQ, Isso abre caminho para a transição final para o novo backend de cluster. Além disso, o Zeek e seus submódulos agora exigem compiladores compatíveis com C++20 (no mínimo GCC 10, Clang 8 ou Visual Studio 2022).
Outra modificação relevante é a substituindo a classe zeek::Span pela classe padrão std::span, como afeta desenvolvedores de plugins que usam o subsistema de telemetria. Limpezas extensas também foram realizadas na base de código, removendo dependências desnecessárias e ajustando o tratamento de inclusões.
Em relação a os logs, os arquivos analyzer.log e dpd.log foram unificados, E agora, a capacidade de alterar os formatos de saída está disponível através do pacote logschema, permitindo o uso de JSON ou CSV, além dos logs de texto tradicionais. Além disso, foram feitos ajustes no tratamento de timestamp, o que melhora a consistência dos eventos, embora possa exigir modificações nos scripts existentes.
Telemetria avançada e novos recursos de cluster
O gerenciamento de cluster no Zeek também recebe uma atualização significativa. Com o backend ZeroMQ e a API WebSocket, o Zeekctl pode se comunicar de forma mais eficiente com nós individuais., facilitando a execução de comandos e o monitoramento do desempenho.
A telemetria também é expandida com métricas configuráveis que permitem registrar o número de eventos de entrada e saída, seu tamanho e até mesmo a origem dos scripts que os geram. Graças a essa granularidade, é possível otimizar a carga dos nós e detectar gargalos em tempo real.
La A API WebSocket adiciona suporte para o cabeçalho X-Application-Name, o que permite identificar métricas específicas por aplicação e facilita o monitoramento em ambientes distribuídos.
Finalmente se você estiver interessado em saber mais sobre isso sobre este lançamento, você pode verificar os detalhes no link a seguir.
Como instalar Zeek no Linux?
Para os interessados em instalar o Zeek em seu sistema, eles devem saber que os binários pré-construídos são oferecidos por meio de do openSUSE Build Service e basta escolher a distribuição para que ela nos forneça os comandos de instalação.
Por exemplo, para o caso do Ubuntu 25.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_25.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_25.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
Ou no seu caso para o Ubuntu 24.04:
eco 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null sudo apt update sudo apt install zeek
No caso de quem for usuário do Arch Linux, deverá apenas ter o repositório AUR habilitado e digitar em um terminal:
yay -S zeekSe você quiser compilar o código sozinho ou aprender mais, consulte a documentação do Zeek em link a seguir