The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск анализатора трафика Zeek 6.0.0

21.07.2023 08:06

Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 6.0.0 , ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.

Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.

В новом выпуске:

  • В основной состав включён плагин ZeekJS, позволяющий использовать язык JavaScript для разработки сценариев, вместо специфичного для Zeek предметно-ориентированного языка. Реализация основана на libnode (вариант Node.js на C++). Предоставляемый для JavaScript доступ к API Zeek охватывает более чем 500 событий, переменных и функций.
  • Реализована встроенная поддержка "Community ID", позволяющая прикреплять метки к отдельным сетевым потокам, используя в качестве идентификатора хэш от адресов и портов назначения и источника.
  • В основной состав включены возможности плагина spicy-plugin, позволяющего создавать анализаторы на предметно-ориентированном языке Spicy, оптимизированном для разбора протоколов и структурированных данных. На использование Spicy переведены парсеры протоколов Finger и Syslog.
  • В скриптах предоставлена возможность загрузки данных в формате JSON (добавлена функция from_json()).
  • В zeekctl и zeek-archiver добавлена поддержка ведения и архивирования одновременно нескольких логов, связанных с разными файлами.
  • Диапазоны интранет сетей, подобные 192.168.0.0/16, теперь по умолчанию обрабатываются и отражаются в логе как локальные адреса.
  • По умолчанию отключена функциональность централизованного сбора метрик (ранее на управляющем узле на сетевом порту 9911 осуществлялся приём метрик, использующий Prometheus).
  • Переработана система сборки на основе CMake.

  1. Главная ссылка к новости (https://zeek.org/2023/07/13/in...)
  2. OpenNews: Выпуск дистрибутива для исследования безопасности Kali Linux 2023.1
  3. OpenNews: Выпуск сетевого анализатора Wireshark 4.0
  4. OpenNews: Открытый проект Bro переименован в Zeek из-за негативной коннотации
  5. OpenNews: Релиз анализатора трафика sniffglue 0.14.0
  6. OpenNews: Выпуск программы для обхода систем глубокого анализа трафика GoodbyeDPI 0.2.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59471-zeek
Ключевые слова: zeek, monitoring, traffic
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:23, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Название Bro было лучше.
     
  • 1.3, Аноним (3), 10:10, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Это же два самых известных анализатора трафика: зик и шарко
     
     
  • 2.9, Аноним (-), 16:58, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это же два самых известных анализатора трафика: зик и шарко

    Эй! А куда дели tcpdump? Он чуть ли не по умолчанию есть на куче разных систем.

     
     
  • 3.12, Аноним2 (?), 01:52, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так он даспер, а не анализатор. Даже tshark дампер, хотя он на голову выше tcpdump'а в плане разбора.
     
  • 3.14, Аноним (14), 08:45, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Скажи нам, кто тебя научил, что tcpdump это анализатор?
     
     
  • 4.16, Аноним (-), 12:19, 22/07/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.17, Николай (??), 12:41, 23/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    tcpdump'у для анализа траффика нужен grep. Вот тогда анализ начинается серьезный!
     

  • 1.4, YetAnotherOnanym (ok), 10:21, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В основной состав включён плагин ZeekJS, позволяющий использовать язык JavaScript для разработки сценариев, вместо специфичного для Zeek предметно-ориентированного языка

    Это они зря. Во-первых, специальный инструмент лучше, чем инструмент общего назначения. Во-вторых, есть плагин для spicy, кроме собственного языка. И в-третьих, тех, кто неспособен выучить больше одного языка (и зачастую гордится этим), надо держать от своих проектов подальше.

     
     
  • 2.5, Пушок (?), 10:34, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мне неудобно, что будто бы поучаю, но эти три пункта не только не подтверждают, что действительно «зря», но даже собственно аргументами не являются.
     
     
  • 3.7, Мимокрокодил (?), 16:37, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут всецело зависит от того как интегрировали предметную область в язык.
    Если плохо, то пользы от языка общего назначения почти никакой.
    Если нормально и нет специфических потребностей как, к примеру, исключительно работа по схеме событий и реакции на них, тогда замена действительно может принести пользу.
     
  • 2.8, по (?), 16:46, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    чушь какая, должен ли безопастник писать модуль для чужой программы или программист должен дать безопастнику готовой написаный на хрен пойми чем.

    это риторический вопрос, очевидно в разных ситуациях он будет решаться по разному и это добавляет гибкости системе, по вашему, так захаркодить можно вообще все, и перекомпилировать утилиту пинга, что бы попинговать новый адрес, ну да, и ядро со вшитыми адресами, вот житуха бы была, зато безопастность! хрен поменяешь арп запись, никакие инжекты невозможны

     

  • 1.6, Самый умный из вас (?), 14:46, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Новый лого, конечно... в тренде, так сказать)
     
     
  • 2.11, Аноним (11), 19:11, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В контексте вторжений прям метаирония
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру