Zeek

Marco de supervisión de seguridad de red basado en Unix

• Portal de software libre y de código abierto

Zeek es un marco de trabajo de análisis de redes de software libre y de código abierto . Vern Paxson comenzó a trabajar en el desarrollo de Zeek en 1995 en el Laboratorio Nacional Lawrence Berkeley . ^[3] Zeek es un monitor de seguridad de red (NSM), pero también se puede utilizar como un sistema de detección de intrusiones de red (NIDS). ^[4] El proyecto Zeek publica el software bajo la licencia BSD .

Producción

El propósito de Zeek es inspeccionar el tráfico de la red y generar una variedad de registros que describen la actividad que detecta. ^[5] Una lista completa de archivos de registro está disponible en el sitio de documentación del proyecto. ^[6]

Ejemplo de registro

El siguiente es un ejemplo de una entrada en formato JSON del conn.log: ^[7]

{ "ts" : 1554410064 .698965 , "uid" : "CMreaf3tGGK2whbqhh" , "id.orig_h" : "192.168.144.130" , "id.orig_p" : 64277 , "id.resp_h" : "192.168.144.2" , "id.resp_p" : 53 , "proto" : "udp" , "servicio" : "dns" , "duración" : 0.320463 , "orig_bytes" : 94 , "resp_bytes" : 316 , "conn_state" : "SF" , "missed_bytes" : 0 , "historial" : "Dd" , "paquetes_originales" : 2 , "bytes_ip_originales" : 150 , "paquetes_resp" : 2 , "bytes_ip_resp" : 372 , "padres_del_túnel" : [] }                                      

Caza de amenazas

Uno de los principales casos de uso de Zeek implica la búsqueda de amenazas cibernéticas . ^[8]

Nombre

El autor principal, Paxson, nombró originalmente el software "Bro" como advertencia sobre el Gran Hermano de George Orwell de la novela Mil novecientos ochenta y cuatro . En 2018, el equipo de liderazgo del proyecto decidió cambiar el nombre del software. En LBNL en la década de 1990, los desarrolladores ejecutaron sus sensores como un pseudousuario llamado "zeek", lo que inspiró el cambio de nombre en 2018. ^[9]

Implementación de Zeek

Los equipos de seguridad identifican las ubicaciones de su red en las que desean tener visibilidad. Implementan uno o más puntos de acceso de red o habilitan puertos SPAN de conmutación para la duplicación de puertos para obtener acceso al tráfico. Implementan Zeek en servidores con acceso a esos puntos de visibilidad. ^[10] El software Zeek en el servidor descifra el tráfico de red como registros y los escribe en un disco local o en un almacenamiento remoto. ^[11]

Arquitectura y analizadores de aplicaciones Zeek

El motor de eventos de Zeek analiza el tráfico de red en vivo o grabado para generar registros de eventos neutrales. Zeek utiliza puertos comunes y detección dinámica de protocolos (que involucra firmas y análisis de comportamiento) para identificar protocolos de red. ^[12]

Los desarrolladores escriben scripts de políticas de Zeek en el lenguaje de scripts completo de Turing . De forma predeterminada, Zeek registra información sobre eventos en archivos, pero los analistas también pueden configurar Zeek para que realice otras acciones, como enviar un correo electrónico, generar una alerta, ejecutar un comando del sistema, actualizar una métrica interna o llamar a otro script de Zeek.

Los analizadores Zeek realizan decodificación de la capa de aplicación, detección de anomalías, comparación de firmas y análisis de conexiones. ^[13] Los desarrolladores de Zeek diseñaron el software para incorporar analizadores adicionales. El método más reciente para crear nuevos analizadores de protocolos se basa en el marco Spicy. ^[14]

Referencias

1. "Bro 0.3-alpha" . Consultado el 1 de agosto de 2022 .
2. "Versión 7.0.2". 24 de septiembre de 2024. Consultado el 26 de septiembre de 2024 .
3. Paxson, Vern (26 de enero de 1998). "Bro: un sistema para detectar intrusos en la red en tiempo real" (PDF) . USENIX . Consultado el 1 de agosto de 2022 .
4. McCarty, Ronald. «Bro IDS» Revista ADMIN. Revista ADMIN . Consultado el 6 de julio de 2023 .
5. "Zeek Network Security Monitor". 22 de diciembre de 2021. Consultado el 1 de agosto de 2022 .
6. "Archivos de registro de referencia de scripts de Zeek". Documentación de Zeek . Consultado el 1 de agosto de 2022 .
7. Wright, Joshua (9 de diciembre de 2019). "Análisis de registros JSON de Zeek con JQ". SANS . Consultado el 1 de agosto de 2022 .
8. Ooi, Eric (22 de noviembre de 2023). "Zeekurity Zen - Parte IV: Caza de amenazas con Zeek". Eric Ooi . Consultado el 20 de noviembre de 2023 .
9. Paxson, Vern (11 de octubre de 2018). "Cambiando el nombre del proyecto Bro".
10. "Habilitación de la supervisión de redes SOHO". 2020-04-07 . Consultado el 2022-08-01 .
11. Ooi, Eric (3 de enero de 2019). "Zeekurity Zen Parte III: Cómo enviar registros de Zeek a Splunk". Eric Ooi . Consultado el 1 de agosto de 2022 .
12. Grashöfer, Jan; Titze, Christian; Hartenstein, Hannes (2019). "Ataques a la detección de protocolos dinámicos de herramientas de monitoreo de seguridad de red de código abierto". arXiv : 1912.03962 [cs.NI].
13. Sommer, Robin (2003). "Bro: Un sistema de detección de intrusiones en redes de código abierto". CiteSeerX 10.1.1.60.5410 . 
14. "Picante". GitHub . 11 de junio de 2022 . Consultado el 1 de agosto de 2022 .

Enlaces externos

• El monitor de seguridad de red Zeek
• Bro: Un sistema para detectar intrusos en la red en tiempo real – Vern Paxson
• ¿Zeek Nedir? ¿Nasıl Kurulur? – KernelBlog Emre Yılmaz (en turco)