În urmă cu doar câteva zile, a fost anunțată lansarea „Zeek 8.0”, noua versiune a sistemului de analiză a traficului de rețea și detectare a intruziunilor, cunoscut anterior sub numele de Bro. Acest software, recunoscut pe scară largă în mediile de securitate și monitorizare avansată, combină puterea, flexibilitatea și scalabilitatea în rețele cu lățime de bandă mare, rămânând unul dintre cele mai cuprinzătoare instrumente pentru analiza aprofundată a protocoalelor și evenimentelor legate de securitate.
Designul său permite înregistrarea detaliată a activității rețelei, cu accent pe detectarea anomaliilor și dezvoltarea de politici personalizate. Pentru a realiza acest lucru, include un limbaj de scripting specific, care permite definirea unor scenarii de monitorizare adaptate infrastructurii fiecărei organizații.
Datorită arhitecturii sale modulare, Zeek poate analiza o gamă largă de protocoale la nivel de aplicație, evaluând nu doar anteturile de rețea de bază, ci și starea conexiunii și comportamentul traficului. Acest lucru îl face o resursă strategică în managementul securității și criminalistica digitală.
Zeek 8.0 Repere
Versiunea 8.0.0 sosește cu îmbunătățiri tehnice care extind una dintre cele mai relevante funcții este Posibilitatea de a configura identificatori de tupluri de flux de rețea folosind pluginuri, care previn coliziunile prin separarea fluxurilor în medii complexe. Acum, pe lângă adresele IP, porturile și protocoalele, Acestea pot fi considerate etichete VLAN sau identificatori de trafic încapsulați, cum ar fi VXLAN și Geneve.
O altă schimbare este Introducerea backend-ului clusterului bazat pe ZeroMQ, care este deja pregătit pentru medii de producție. Deși backend-ul Broker rămâne implicit, Viitorul indică o migrare completă către ZeroMQ, ceea ce va simplifica distribuirea mesajelor fără a fi nevoie de un proxy intermediar.
În domeniul analizoarelor, Zeek încorporează suport pentru protocoale cheie precum Redis, că acum dispune de un jurnal de tranzacții dedicat și îmbunătățiri SMTP, Acest lucru vă permite să extrageți mesaje de e-mail în format .eml pentru analiză. De asemenea, au fost îmbunătățite suportul pentru FTP cu autentificare TLS, detectarea înregistrărilor NAPTR în DNS și vizibilitatea ID-ului sesiunii PPPoE.
Modificări de ultim moment și ajustări tehnice
Saltul la Zeek 8.0.0 implică și modificări structurale semnificative. Începând cu această versiune, versiunea sistemului depinde de biblioteca ZeroMQ, Aceasta deschide calea pentru tranziția finală către noul backend al clusterului. În plus, Zeek și submodulele sale necesită acum compilatoare compatibile cu C++20 (minim GCC 10, Clang 8 sau Visual Studio 2022).
O altă modificare relevantă este înlocuirea clasei zeek::Span cu clasa standard std::span, ca afectează dezvoltatorii de pluginuri care utilizează subsistemul de telemetrie. De asemenea, au fost efectuate curățări ample ale bazei de cod, eliminând dependențele inutile, iar reglajele fine includ și gestionarea.
Cu privire la jurnalele, fișierele analyzer.log și dpd.log au fost unificate, Și acum, posibilitatea de a schimba formatele de ieșire este disponibilă prin intermediul pachetului logschema, permițând utilizarea JSON sau CSV pe lângă jurnalele text tradiționale. În plus, au fost făcute ajustări la gestionarea timestamp-urilor, ceea ce îmbunătățește consecvența evenimentelor, deși poate necesita modificări ale scripturilor existente.
Telemetrie avansată și noi capacități de cluster
Gestionarea clusterelor în Zeek primește, de asemenea, o actualizare semnificativă. Cu backend-ul ZeroMQ și API-ul WebSocket, Zeekctl poate comunica mai eficient cu nodurile individuale., facilitând executarea comenzilor și monitorizarea performanței.
Telemetria este, de asemenea, extinsă cu metrici configurabile care vă permit să înregistrați numărul de evenimente primite și trimise, dimensiunea acestora și chiar originea scripturilor care le generează. Datorită acestei granularități, este posibil să optimizați încărcarea nodurilor și să detectați blocajele în timp real.
La API-ul WebSocket adaugă suport pentru antetul X-Application-Name, ceea ce face posibilă identificarea unor metrici specifice pentru fiecare aplicație și facilitează monitorizarea în medii distribuite.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta despre această versiune, puteți verifica detaliile În următorul link.
Cum se instalează Zeek pe Linux?
Pentru cei interesați să poată instala Zeek pe sistemul lor, ar trebui să știe că binarele pre-construite sunt oferite prin de la OpenSUSE Build Service și este suficient să alegem distribuția astfel încât să ne furnizeze comenzile de instalare.
De exemplu, pentru cazul Ubuntu 25.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_25.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_25.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
Sau, în cazul tău, pentru Ubuntu 24.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null sudo apt update sudo apt install zeek
În cazul celor care sunt utilizatori Arch Linux, ar trebui să aibă doar depozitul AUR activat și să introducă un terminal:
yay -S zeekDacă doriți să compilați singur codul sau să aflați mai multe, puteți consulta documentația Zeek la următorul link.