O analisador de tráfego do Zeek 3.0.0 foi finalmente lançado após 7 anos de desenvolvimento. Anteriormente, o aplicativo era conhecido pelo nome de Bro. O Zeek é uma plataforma de análise de tráfego que se concentra principalmente no rastreamento de eventos de segurança. Porém, não se limita a isto. São fornecidos módulos para a análise de vários protocolos de rede no nível do aplicativo, levando em consideração o status das conexões e permitindo a formação de um registro detalhado (arquivo morto) da atividade de rede. Portanto, o analisador de tráfego Zeek 3.0.0 é lançado após 7 anos.
Uma linguagem orientada ao tema é proposta para escrever cenários de monitoramento e identificar anomalias. Ele leva em consideração as características específicas de infraestruturas. O sistema é otimizado para uso em redes com alta largura de banda.
Características
Uma API é fornecida para integração com sistemas de informações de terceiros e troca de dados em tempo real.
Pacotes IP capturados com pcap são transferidos para um mecanismo de eventos que os aceita ou rejeita. Pacotes aceitos são encaminhados para o interpretador de script.
O mecanismo de eventos analisa o tráfego de rede ao vivo ou gravado ou arquivos de rastreamento para gerar eventos neutros. Ele gera eventos quando “algo” acontece.
Isso pode ser causado pelo processo do Zeek, como logo após a inicialização ou imediatamente antes do final do processo do Zeek, ou por algo ocorrendo na rede (ou no arquivo de rastreamento) analisado, como o Zeek testemunhando uma solicitação HTTP ou uma nova conexão TCP.
O Zeek usa portas comuns e detecção dinâmica de protocolo (incluindo assinaturas e análise de comportamento) para adivinhar melhor a interpretação dos protocolos de rede. Os eventos são neutros em termos de políticas, pois não são bons nem ruins, mas simplesmente indicam ao script que algo aconteceu.
Destaques do analisador de tráfego Zeek 3.0.0 é lançado após 7 anos
Nesta nova parte do aplicativo, destaca-se que o analisador para o protocolo NTP foi completamente reescrito e um novo analisador para MQTT foi adicionado.
Assim, as funções do analisador foram aprimoradas para DNS, RDP, SMB e TLS. Para o DNS, a análise de registro SPF é fornecida e para DNSSEC, RRSIG, DNSKEY, DS, NSEC e NSEC3 e a atribuição de eventos relacionados é fornecida.
Além disso, todas as referências ao nome “bro” em caminhos de arquivo, configurações, pacotes, scripts, espaços para nome e funções são substituídas por “zeek”. A compatibilidade com nomes antigos é mantida para versões anteriores. O gerenciador de pacotes bro-pkg mudou seu nome para zkg.
Das outras mudanças que se destacam no anúncio desta nova versão:
- Suporte implementado para descapsular fluxos transmitidos dentro de túneis VXLAN;
- Adicionado suporte para links com o tipo NFLOG;
- A capacidade de salvar registros de dados extraídos na codificação UTF8 foi adicionada;
- O suporte final para funções anônimas foi adicionado à linguagem de script, o operador de enumeração de tabela foi adicionado no formato de valor-chave (“para (chave, valor em t)”);
- Adicionando operações de divisão de vetores no estilo Python (“v [2: 4]”);
- Uma nova estrutura de parapente foi proposta para combinar rapidamente máscaras de cadeia em grandes conjuntos de dados binários
- Adicionado suporte para o protocolo SMB 3.x no analisador SMB e suporte para TLS 1.3.
Como instalar o Zeek no Linux?
No momento, o pacote zeek ainda não está nos repositórios das distribuições Linux. Assim, eles só possuem a versão mais recente do “Bro”.
Portanto, se você deseja instalar esta nova versão do Zeek 3.0, deve baixar o código-fonte e compilá-lo no seu computador.
Para fazer isso, deve abrir um terminal e executar os seguintes comandos:
simterm]./configure && make && sudo make install
E pronto com ele e terá instalado este analisador de tráfego.
Fonte: Linux Adictos