Zeek ابزاری قدرتمند و انعطاف پذیر نظارت بر امنیت شبکه است که توسط تحلیلگران برای پردازش و تجزیه و تحلیل ترافیک شبکه استفاده می شود. این کار با بازرسی از بسته های شبکه و تولید سیاهههای مربوط که بینش مفصلی در مورد رویدادهای شبکه ارائه می دهد ، کار می کند. این پست وبلاگ شما را از طریق ساختار Zeek ، قابلیت های اصلی آن و موارد استفاده عملی راهنمایی می کند.
لایه های Zeek
Zeek دو لایه اصلی دارد:
موتور حادثه
موتور این رویداد بسته ها را پردازش می کند و آنها را به اجزای کوچکتر مانند آدرس های منبع و مقصد ، اطلاعات پروتکل ، جزئیات جلسه و موارد دیگر می شکند. این لایه بنیادی است که داده ها برای تجزیه و تحلیل عمیق تر تهیه می شوند.
مترجم خط مشی
این لایه از اسکریپت های Zeek برای توصیف همبستگی رویداد استفاده می کند. این به تحلیلگران اجازه می دهد منطق سفارشی را برای تجزیه و تحلیل رویداد تعریف کنند و پاسخ های خود را به فعالیتهای خاص شبکه اختصاص دهند.
در اینجا یک پیش نویس بالقوه برای پست وبلاگ شما در مورد Zeek آورده شده است. این دستورالعمل های شما در مورد نوشتن به زبان انگلیسی ساده دانشگاهی ، ساختار یافته برای سازگاری Dev و از جمله نمونه های کد پیچیده شده در قالب بندی مناسب است.
کاوش Zeek: یک ابزار قدرتمند نظارت بر امنیت شبکه
Zeek ابزاری قدرتمند و انعطاف پذیر نظارت بر امنیت شبکه است که توسط تحلیلگران برای پردازش و تجزیه و تحلیل ترافیک شبکه استفاده می شود. این کار با بازرسی از بسته های شبکه و تولید سیاهههای مربوط که بینش مفصلی در مورد رویدادهای شبکه ارائه می دهد ، کار می کند. این پست وبلاگ شما را از طریق ساختار Zeek ، قابلیت های اصلی آن و موارد استفاده عملی راهنمایی می کند.
لایه های Zeek
Zeek دو لایه اصلی دارد:
موتور حادثه
موتور این رویداد بسته ها را پردازش می کند و آنها را به اجزای کوچکتر مانند آدرس های منبع و مقصد ، اطلاعات پروتکل ، جزئیات جلسه و موارد دیگر می شکند. این لایه بنیادی است که داده ها برای تجزیه و تحلیل عمیق تر تهیه می شوند.
مترجم خط مشی
این لایه از اسکریپت های Zeek برای توصیف همبستگی رویداد استفاده می کند. این به تحلیلگران اجازه می دهد منطق سفارشی را برای تجزیه و تحلیل رویداد تعریف کنند و پاسخ های خود را به فعالیتهای خاص شبکه اختصاص دهند.
چارچوب های Zeek
Zeek با چندین چارچوب گسترده برای تقویت عملکرد همراه است. برخی از چارچوب های کلیدی عبارتند از:
- تجزیه و تحلیل پرونده: هش و استخراج پرونده ها را از ترافیک شبکه امکان پذیر می کند.
- چارچوب امضا: ناهنجاری ها را بر اساس شرایط تعریف شده تشخیص می دهد.
- چارچوب اطلاعاتی: فرایندهای اطلاعاتی را برای شناسایی فعالیت های مشکوک فرآیند می کند.
کار با Zeek: دستورات اساسی
zeekctl status
zeekctl start
zeekctl stop
# Process a pcap file
zeek -C -r sample.pcap
# View saved logs
ls -l /opt/zeek/logs/
توضیح:
-C: خطاهای چک را نادیده بگیرید.
-R: یک فایل PCAP را بخوانید و پردازش کنید.
امضاهای Zeek: تشخیص ناهنجاری ها
چارچوب امضای Zeek به شما امکان می دهد شرایط را برای تشخیص رفتار شبکه غیرمعمول تعریف کنید. امضای شامل سه مؤلفه است: شناسه ، شرایط و اقدامات.
در اینجا مثالی از تشخیص ارسال رمز عبور ClearText آورده شده است:
signature http-password {
ip-proto == tcp
dst-port == 80
payload /.*password.*/
event "Cleartext Password Found!"
}
برای اجرای یک پرونده امضا:zeek -C -r sample.pcap -s signature_file.zeek
