Выпуск анализатора трафика Zeek 6.0.0
Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 6.0.0 , ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.
Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.
В основной состав включён плагин ZeekJS, позволяющий использовать язык JavaScript для разработки сценариев, вместо специфичного для Zeek предметно-ориентированного языка. Реализация основана на libnode (вариант Node.js на C++). Предоставляемый для JavaScript доступ к API Zeek охватывает более чем 500 событий, переменных и функций.
Реализована встроенная поддержка "Community ID", позволяющая прикреплять метки к отдельным сетевым потокам, используя в качестве идентификатора хэш от адресов и портов назначения и источника.
В основной состав включены возможности плагина spicy-plugin, позволяющего создавать анализаторы на предметно-ориентированном языке Spicy, оптимизированном для разбора протоколов и структурированных данных. На использование Spicy переведены парсеры протоколов Finger и Syslog.
В скриптах предоставлена возможность загрузки данных в формате JSON (добавлена функция from_json()).
В zeekctl и zeek-archiver добавлена поддержка ведения и архивирования одновременно нескольких логов, связанных с разными файлами.
Диапазоны интранет сетей, подобные 192.168.0.0/16, теперь по умолчанию обрабатываются и отражаются в логе как локальные адреса.
По умолчанию отключена функциональность централизованного сбора метрик (ранее на управляющем узле на сетевом порту 9911 осуществлялся приём метрик, использующий Prometheus).
Переработана система сборки на основе CMake.
Источник: https://www.opennet.ru/opennews/art.shtml?num=59471