Выпуск анализатора трафика Zeek 6.0.0

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
21-Июл-2023 10:58

Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 6.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD.
Платформой предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.
В новом выпуске:
  • Реализована экспериментальная поддержка ZeekJS, плагина для использования JavaScript в качестве альтернативного языка разработки сценариев. Реализация основана на libnode (вариант Node.js на C++), предоставляет доступ к API Zeek и позволяет обрабатывать более чем 500 событий.
  • Реализована встроенная поддержка "Community ID", позволяющая прикреплять метки к отдельным сетевым потокам, используя в качестве идентификатора хэш от адресов и портов назначения и источника.
  • В основной состав включены возможности плагина spicy-plugin, позволяющего создавать анализаторы на предметно-ориентированном языке Spicy, оптимизированном для разбора протоколов и структурированных данных. На использование Spicy переведены парсеры протоколов Finger и Syslog.
  • В скриптах предоставлена возможность загрузки данных в формате JSON (добавлена функция from_json()).
  • В zeekctl и zeek-archiver добавлена поддержка ведения и архивирования одновременно нескольких логов, связанных с разными файлами.
  • Диапазоны интранет сетей, подобные 192.168.0.0/16, теперь по умолчанию обрабатываются и отражаются в логе как локальные адреса.
  • По умолчанию отключена функциональность централизованного сбора метрик (ранее на управляющем узле на сетевом порту 9911 осуществлялся приём метрик, использующий Prometheus).
  • Переработана система сборки на основе CMake.

===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_zeek, #_monitoring, #_traffic
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 25-Ноя 06:17
Часовой пояс: UTC + 5