Зик
Оригинальный автор(ы) | Верн Паксон |
---|---|
Первоначальный выпуск | 24 января 1998 г [1] |
Стабильная версия | 6.2.1 [2] / 16 мая 2024 г |
Репозиторий | |
Написано в | С++ |
Операционная система | Linux , FreeBSD , MacOS |
Тип | Система обнаружения сетевых вторжений |
Лицензия | Лицензия BSD |
Веб-сайт | Зик |
Zeek — это бесплатная платформа сетевого анализа с открытым исходным кодом . Верн Паксон начал работу над Zeek в 1995 году в Национальной лаборатории Лоуренса Беркли . [3] Zeek — это монитор сетевой безопасности (NSM), но его также можно использовать в качестве системы обнаружения сетевых вторжений (NIDS). [4] Проект Zeek выпускает программное обеспечение под лицензией BSD .
Выход
[ редактировать ]Цель Зика — проверять сетевой трафик и создавать различные журналы, описывающие наблюдаемую активность. [5] Полный список файлов журналов доступен на сайте документации проекта. [6]
Пример журнала
[ редактировать ]Ниже приведен пример одной записи в формате JSON из conn.log: [7]
{ "ts": 1554410064.698965, "uid": "CMreaf3tGGK2whbqhh", "id.orig_h": "192.168.144.130", "id.orig_p": 64277, "id.resp_h": "192.168.144.2", "id.resp_p": 53, "proto": "udp", "service": "dns", "duration": 0.320463, "orig_bytes": 94, "resp_bytes": 316, "conn_state": "SF", "missed_bytes": 0, "history": "Dd", "orig_pkts": 2, "orig_ip_bytes": 150, "resp_pkts": 2, "resp_ip_bytes": 372, "tunnel_parents": []}
Охота за угрозами
[ редактировать ]Один из основных вариантов использования Zeek связан с поиском киберугроз . [8]
Имя
[ редактировать ]Основной автор, Паксон, первоначально назвал программу «Братан» в качестве предупреждения относительно Джорджа Оруэлла из Большого Брата романа «Девятнадцать восемьдесят четыре» . В 2018 году руководство проекта приняло решение о переименовании программного обеспечения. В LBNL в 1990-х годах разработчики запускали свои датчики как псевдопользователь по имени «zeek», тем самым вдохновив на смену имени в 2018 году. [9]
Развертывание Зика
[ редактировать ]Команды безопасности определяют места в своей сети, где им нужна видимость. Они развертывают один или несколько сетевых ответвителей или включают порты SPAN коммутатора для зеркалирования портов , чтобы получить доступ к трафику. Они развертывают Zeek на серверах с доступом к этим точкам видимости. [10] Программное обеспечение Zeek на сервере расшифровывает сетевой трафик в виде журналов и записывает их на локальный диск или в удаленное хранилище. [11]
Архитектура приложений и анализаторы Zeek
[ редактировать ]Механизм событий Zeek анализирует живой или записанный сетевой трафик для создания нейтральных журналов событий. Зик использует общие порты и динамическое обнаружение протоколов (включая сигнатуры, а также поведенческий анализ) для идентификации сетевых протоколов. [12]
Разработчики пишут сценарии политики Zeek на языке сценариев Zeek Turing Complete . По умолчанию Zeek записывает информацию о событиях в файлы, но аналитики также могут настроить Zeek для выполнения других действий, таких как отправка электронного письма, создание оповещения, выполнение системной команды, обновление внутренней метрики или вызов другого скрипта Zeek.
Анализаторы Zeek выполняют декодирование на прикладном уровне, обнаружение аномалий, сопоставление сигнатур и анализ соединения. [13] Разработчики Zeek разработали программное обеспечение, в которое включены дополнительные анализаторы. Последний метод создания новых анализаторов протоколов основан на платформе Spicy. [14]
Ссылки
[ редактировать ]- ^ «Братан 0,3-альфа» . Проверено 1 августа 2022 г.
- ^ «Выпуск 6.2.1» . 16 мая 2024 г. Проверено 28 мая 2024 г.
- ^ Паксон, Верн (26 января 1998 г.). «Братан: Система обнаружения сетевых злоумышленников в режиме реального времени» (PDF) . УСЕНИКС . Проверено 1 августа 2022 г.
- ^ Маккарти, Рональд. «Бро IDS » Журнал ADMIN» . Журнал АДМИН . Проверено 6 июля 2023 г.
- ^ «Монитор сетевой безопасности Zeek» . 22 декабря 2021 г. Проверено 1 августа 2022 г.
- ^ «Справочные файлы журналов сценариев Zeek» . Документация Зика . Проверено 1 августа 2022 г.
- ^ Райт, Джошуа (9 декабря 2019 г.). «Разбор журналов Zeek JSON с помощью JQ» . САНС . Проверено 1 августа 2022 г.
- ^ Оой, Эрик (22 ноября 2023 г.). «Zeekurity Zen — Часть IV: Охота за угрозами с помощью Zeek» . Эрик Оой . Проверено 20 ноября 2023 г.
- ^ Паксон, Верн (11 октября 2018 г.). «Переименование проекта Bro» .
- ^ «Включение мониторинга сети SOHO» . 07.04.2020 . Проверено 1 августа 2022 г.
- ^ Оой, Эрик (3 января 2019 г.). «Zeekurity Zen Part III: Как отправить журналы Zeek в Splunk» . Эрик Оой . Проверено 1 августа 2022 г.
- ^ Грасёфер, Ян; Титце, Кристиан; Хартенштейн, Ханнес (2019). «Атаки на динамическое обнаружение протоколов инструментов мониторинга сетевой безопасности с открытым исходным кодом». arXiv : 1912.03962 [ cs.NI ].
- ^ Соммер, Робин (2003). «Братан: система обнаружения сетевых вторжений с открытым исходным кодом». CiteSeerX 10.1.1.60.5410 .
- ^ «Пряный» . Гитхаб . 11 июня 2022 г. Проверено 1 августа 2022 г.
Внешние ссылки
[ редактировать ]- Монитор сетевой безопасности Zeek
- Бро: Система обнаружения сетевых злоумышленников в режиме реального времени – Верн Паксон
- Что такое Зик? Как установить? – KernelBlog Эмре Йылмаз (на турецком языке)