Zeek: инструмент сетевой безопасности с открытым исходным кодом

Несколько месяцев назад наш партнер Пост-установка Linux поделился здесь в блоге пост, посвященный Зику, в котором он дает краткое резюме и рассматривает его характеристики, среди некоторой дополнительной информации. Причиной разговора об этом является то, что недавно было объявлено о запуске новой версии этой системы анализа сетевого трафика и обнаружения вторжений, достигшей своей новой версии «Zeek 6.0».

Для тех, кто еще не знает о Zeek, Я рекомендую прочитать статью нашего партнера, так как она прекрасно объясняет это. Но взяв часть информации, которой он поделился с нами в своем блоге, можно сказать, что Zeek (ранее распространявшийся под именем Bro) платформа для анализа трафика в первую очередь сосредоточены, но не ограничиваются мониторингом событий, связанных с безопасностью.

платформа предоставляет модули для синтаксического анализа и разбора различных сетевых протоколов прикладного уровня., учитывающее состояние соединений и позволяющее формировать подробный журнал (архив) сетевой активности.

В Zeek предлагается предметно-ориентированный язык для написания скриптов для мониторинга и обнаружения аномалий с учетом особенностей конкретных инфраструктур. Система оптимизирована для использования в сетях с высокой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.

Главные новости Zeek 6.0

В представленной новой версии Zeek 6.0 подчеркивается, что теперь Плагин ZeekJS включен, что позволяет использовать язык JavaScript для скриптов, вместо предметно-ориентированного языка Zeek. Доступ JavaScript к Zeek API охватывает более 500 событий, переменных и функций, а реализация основана на libnode (вариант Node.js на C++).

Еще одно заметное изменение заключается в том, чтоe представляет новую версию cmake, которая представляет новый API для разработчиков. плагинов и удаляет многие оставшиеся сборки из Bro. Упоминается, что уровень совместимости по-прежнему сохраняется, чтобы поддерживать функциональность существующего кода cmake плагина, но все авторы плагинов должны увеличить требования к версии cmake до 3.15, чтобы соответствовать Zeek.

Наряду с этим подчеркивается, чтоe Zeek 6 продолжает работу который начался в 5.2 для поддержки встроенных анализаторов с технологией Spicy и теперь полностью интегрирован с Zeek. Упоминается, что анализаторы протоколов Finger и Syslog были изменены для использования Spicy.

Из другие изменения которые выделяются:

• ZeekControl теперь поддерживает несколько регистраторов. При настройке нескольких узлов реестра
  
  В файле ZeekControl node.cfg по умолчанию логика файла журнала добавляет имя регистратора в качестве суффикса к имени файла.
• Скрипты теперь имеют возможность загружать данные в формате JSON (добавлена ​​функция from_json()).
• Добавлена ​​поддержка одновременного ведения и архивирования нескольких журналов, связанных с разными архивами, в zeekctl и zeek-archiver.
• Диапазоны интрасети, такие как 192.168.0.0/16, теперь по умолчанию обрабатываются и регистрируются как локальные адреса.
• По умолчанию функционал централизованного сбора метрик отключен (ранее управляющий узел на сетевом порту 9911 получал метрики через Prometheus).
• События Zeek теперь содержат временные метки сети. Для запланированных событий отметка времени
  
  представляет сетевое время, на которое запланировано событие; в противном случае,
  
  это сетевое время на момент создания события.

В конце концов если вам интересно узнать об этом больше об этом выпуске вы можете проверить подробности По следующей ссылке.

Как установить Zeek в Linux?

Тем, кто заинтересован в возможности установить Zeek в своей системе, следует знать, что готовые двоичные файлы предлагаются через из службы сборки openSUSE и достаточно подобрать дистрибутив так, чтобы он предоставил нам команды установки.

Например, для Ubuntu 23.04:



echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_23.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_23.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null

sudo apt update

sudo apt install zeek

В случае тех, кто является пользователем Arch Linux, им следует только включить репозиторий AUR и ввести терминал:

yay -S zeek

Если вы хотите скомпилировать код самостоятельно или узнать больше, вы можете обратиться к документации Zeek по адресу по следующей ссылке.