Лише кілька днів тому було оголошено про випуск "Zeek 8.0" – нової версії системи аналізу мережевого трафіку та виявлення вторгнень, раніше відомої як Bro. Це програмне забезпечення, широко визнане в середовищах безпеки та розширеного моніторингу, поєднує потужність, гнучкість та масштабованість у мережах з високою пропускною здатністю, залишаючись одним із найповніших інструментів для поглибленого аналізу протоколів та подій, пов'язаних з безпекою.
Його конструкція дозволяє детально записувати мережеву активність з акцентом на виявленні аномалій та розробці індивідуальних політик. Для досягнення цієї мети він включає спеціальну мову сценаріїв, яка дозволяє визначати сценарії моніторингу, адаптовані до інфраструктури кожної організації.
Завдяки своїй модульній архітектурі, Zeek може аналізувати широкий спектр протоколів прикладного рівня, оцінюючи не лише основні мережеві заголовки, але й стан з'єднання та поведінку трафіку. Це робить його стратегічним ресурсом в управлінні безпекою та цифровій криміналістиці.
Основні моменти Zeek 8.0
Вийшла версія 8.0.0 з технічними вдосконаленнями, що розширюють одну з найважливіших функцій є Можливість налаштування ідентифікаторів кортежів мережевого потоку використання плагінів, що запобігає колізіям шляхом розділення потоків у складних середовищах. Тепер, окрім IP-адрес, портів та протоколів, Їх можна вважати тегами VLAN або інкапсульованими ідентифікаторами трафіку, такими як VXLAN та Geneve.
Ще однією зміною є Впровадження кластерного бекенду на базі ZeroMQ, який вже підготовлений для робочого середовища. Хоча серверна частина Broker залишається стандартною, Майбутнє вказує на повну міграцію на ZeroMQ, що спростить розсилку повідомлень без потреби в проміжному проксі-сервері.
У галузі аналізаторів, Zeek включає підтримку ключових протоколів, таких як Redis, що тепер має спеціальний журнал транзакцій та покращення SMTP, Це дозволяє витягувати електронні листи у форматі .eml для аналізу. Також покращено підтримку FTP з TLS-автентифікацією, виявлення записів NAPTR у DNS та видимість ідентифікатора сеансу PPPoE.
Зміни в останню хвилину та технічні коригування
Перехід до Zeek 8.0.0 також передбачає значні структурні зміни. Починаючи з цього випуску, збірка системи залежить від бібліотеки ZeroMQ, Це відкриває шлях для остаточного переходу на новий кластерний сервер. Крім того, Zeek та його підмодулі тепер потребують компіляторів, сумісних з C++20 (мінімум GCC 10, Clang 8 або Visual Studio 2022).
Ще однією відповідною модифікацією є заміна класу zeek::Span на стандартний std::span, що впливає на розробників плагінів, які використовують підсистему телеметрії. Також було проведено масштабне очищення кодової бази, видалено непотрібні залежності та проведено точне налаштування обробки, включаючи зміни.
Про журнали, файли analyzer.log та dpd.log були об'єднані, А тепер можливість змінювати формати виводу доступна через пакет logschema, що дозволяє використовувати JSON або CSV на додаток до традиційних текстових журналів. Крім того, було внесено зміни до обробки часових позначок, що покращує узгодженість подій, хоча це може вимагати модифікації існуючих скриптів.
Розширена телеметрія та нові можливості кластера
Управління кластерами в Zeek також отримує значне оновлення. Завдяки серверній частині ZeroMQ та API WebSocket, Zeekctl може ефективніше взаємодіяти з окремими вузлами., що спрощує виконання команд та моніторинг продуктивності.
Телеметрія також розширена налаштовуваними метриками, які дозволяють записувати кількість вхідних та вихідних подій, їх розмір і навіть походження скриптів, що їх генерують. Завдяки такій деталізації можна оптимізувати навантаження на вузли та виявляти вузькі місця в режимі реального часу.
La WebSocket API додає підтримку для заголовка X-Application-Name, що дозволяє визначати конкретні показники для кожної програми та полегшує моніторинг у розподілених середовищах.
В кінці кінців якщо вам цікаво дізнатись більше про це щодо цього випуску, ви можете перевірити деталі У наступному посиланні.
Як встановити Zeek на Linux?
Для тих, хто зацікавлений у встановленні Zeek у своїй системі, вони повинні знати, що попередньо зібрані двійкові файли пропонуються через з openSUSE Build Service і достатньо вибрати дистрибутив, щоб він надав нам команди встановлення.
Наприклад, для Ubuntu 25.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_25.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_25.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
Або у вашому випадку для Ubuntu 24.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null sudo apt update sudo apt install zeek
У випадку користувачів Arch Linux вони повинні лише ввімкнути репозиторій AUR і ввести термінал:
yay -S zeekЯкщо ви хочете скомпілювати код самостійно або дізнатися більше, ви можете переглянути документацію Zeek за адресою наступне посилання.