Представлен релиз системы анализа трафика и выявления сетевых вторжений Zeek 3.0.0
Представлен релиз системы анализа трафика и выявления сетевых вторжений Zeek 3.0.0 , ранее распространявшейся под именем Bro. Это первый значительный выпуск после переименования проекта, совершённого так как имя Bro ассоциировалось с одноимённой маргинальной субкультурой, а не как задуманный авторами намёк на "большого брата" из романа Джорджа Оруэлла "1984". Код системы написан на языке С++ и распространяется под лицензией BSD.
Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Предоставляются модули для анализа и разбора различных сетевых протоколов уровня приложений, учитывающие состояние соединений и позволяющие формировать подробный журнал (архив) сетевой активности. Предлагается предметно-ориентированный язык для написания сценариев мониторинга и выявления аномалий с учётом специфики конкретных инфраструктур. Система оптимизирована для использования в сетях с большой пропускной способностью. Предоставляется API для интеграции со сторонними информационными системами и обмена данными в режиме реального времени.
В новом выпуске:
- Полностью переписан анализатор для протокола NTP и добавлен новый анализатор для MQTT. Расширены возможности анализаторов для DNS, RDP, SMB и TLS. Для DNS обеспечен разбор записей SPF, а для DNSSEC - RRSIG, DNSKEY, DS, NSEC и NSEC3 и выделение связанных с ними событий. В анализатор SMB добавлена поддержка протокола SMB 3.x, а для TLS поддержка TLS 1.3;
- Реализована поддержка деинкапсуляции потоков, передаваемых внутри туннелей VXLAN;
- Добавлена поддержка линков с типом NFLOG;
- Добавлена возможность сохранения в логе извлечённых данных в кодировке UTF8;
- В язык сценариев добавлена поддержка замыканий для анонимных функций, добавлен оператор перебора таблиц в формате ключ-значение ("for ( key, value in t )"), реализованы операции разделения векторов в стиле Python ("v[2:4]"), предложена новая структура paraglob для быстрого сопоставления строковых масок в больших наборах бинарных данных;
- Все упоминания имени "bro" в файловых путях, настройках, пакетах, скриптах, пространствах имён и функциях заменены на "zeek" (поддержка старых имён сохранена для обеспечения обратной совместимости). Пакетный менеджер bro-pkg переименован в zkg.