Выпуск анализатора трафика Zeek 6.0.0

Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 6.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.

Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.

В новом выпуске:

  • Реализована экспериментальная поддержка ZeekJS, плагина для использования JavaScript в качестве альтернативного языка разработки сценариев. Реализация основана на libnode (вариант Node.js на C++), предоставляет доступ к API Zeek и позволяет обрабатывать более чем 500 событий.

  • Реализована встроенная поддержка «Community ID», позволяющая прикреплять метки к отдельным сетевым потокам, используя в качестве идентификатора хэш от адресов и портов назначения и источника.

  • В основной состав включены возможности плагина spicy-plugin, позволяющего создавать анализаторы на предметно-ориентированном языке Spicy, оптимизированном для разбора протоколов и структурированных данных. На использование Spicy переведены парсеры протоколов Finger и Syslog.

  • В скриптах предоставлена возможность загрузки данных в формате JSON (добавлена функция from_json ()).

  • В zeekctl и zeek-archiver добавлена поддержка ведения и архивирования одновременно нескольких логов, связанных с разными файлами.

  • Диапазоны интранет сетей, подобные 192.168.0.0/16, теперь по умолчанию обрабатываются и отражаются в логе как локальные адреса.

  • По умолчанию отключена функциональность централизованного сбора метрик (ранее на управляющем узле на сетевом порту 9911 осуществлялся приём метрик, использующий Prometheus).

  • Переработана система сборки на основе CMake.



    Источник: http://www.opennet.ru/opennews/art.shtml? num=59471

© OpenNet