Выпуск системы анализа трафика Zeek 3.0.0
Спустя семь лет с момента формирования прошлой значительной ветки представлен релиз системы анализа трафика и выявления сетевых вторжений Zeek 3.0.0, ранее распространявшейся под именем Bro. Это первый значительный выпуск после переименования проекта, так как имя Bro ассоциировалось с одноимённой субкультурой, а не как задуманный авторами намёк на «большого брата» из романа Джорджа Оруэлла »1984». Код системы написан на языке С++ и распространяется под лицензией BSD.
Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывая состояние соединений и позволяя формировать журнал сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом спецификции конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.
В новом выпуске:
- Полностью переписан анализатор для протокола NTP и добавлен новый анализатор для MQTT. Расширены возможности анализаторов для DNS, RDP, SMB и TLS. Для DNS обеспечен разбор записей SPF, а для DNSSEC — RRSIG, DNSKEY, DS, NSEC и NSEC3 и выделение связанных с ними событий. В анализатор SMB добавлена поддержка протокола SMB 3.x, а для TLS поддержка TLS 1.3;
- Реализована поддержка деинкапсуляции потоков, передаваемых внутри туннелей VXLAN;
- Добавлена поддержка линков с типом NFLOG;
- Поддержка сохранения в логе извлечённых данных в кодировке UTF8;
- В язык сценариев добавлена поддержка замыканий для анонимных функций, добавлен оператор перебора таблиц в формате ключ значение («for (key, value in t)»), реализованы операции разделения векторов в стиле Python («v[2:4]»), предложена новая структура данных paraglob для быстрого сопоставления строковых масок в больших наборах бинарных данных;
- Все упоминания имени «bro» в файловых путях, настройках, пакетах, скриптах, пространствах имён и функциях заменено на «zeek» (поддержка старых имён сохранена для обеспечения обратной совместимости). Пакетный менеджер bro-pkg переименован в zkg.
© OpenNet