Bezpieczeństwo i zarządzanie siecią są korzystnie rozwijane dzięki narzędziom, które sprawiają, że wszystko jest znacznie prostsze i bardziej praktyczne. Dawno minęły czasy, kiedy wiele rozwiązań bardzo drogi i trudne w użyciu nie dały pożądanej odpowiedzi. Cyberataki przynoszą coraz mniejszą ulgę, a sieci muszą mieć prawdziwą tarczę ochronną.
Zeek jest przedstawiany jako narzędzie wspierające zarządzanie reagować na incydenty bezpieczeństwa ten Działa poprzez kompletowanie narzędzi na podstawie podpisów być w stanie wykrywać i monitorować złożone zdarzenia sieciowe. Charakteryzuje się szybkimi reakcjami oraz wykorzystaniem wielu strumieni i protokołów. Nie tylko pomaga w wykrywaniu incydentów związanych z bezpieczeństwem, ale także ułatwia rozwiązywanie problemów.
Szczegółowe monitorowanie sieci z logami
Dziennik jest bardzo przydatny do analizowania wszelkiego rodzaju problemów sieciowych, w tym zdarzeń zagrażających integralności jej bezpieczeństwa. Zeek w pełni wykorzystuje to, oferując plik, który stanowi duży procent logów, które może tworzyć w oparciu o różne protokoły. Niektóre z protokołów, o których możemy wspomnieć, to:
- DHCP
- DNS
- FTP
- HTTP
- SNMP
- SMTP
- SSL i nie tylko
Powyżej widzimy pobieranie wszystkich pól w dzienniku DNS. Zauważysz, że każde pole określa rodzaj danych, które mogą być wyświetlane, oraz krótki opis informacyjny. Oto kilka pól jako przykłady:
- trans_id: stworzony został unikalny numer, który identyfikuje wygenerowany log.
- kod: Wartość kodu odpowiedzi DNS.
- odrzucił: Jest to pole z wartością logiczną (prawda lub fałsz), która mówi nam, czy żądanie połączenia DNS zostało odrzucone, czy nie.
Jednym z aspektów, który jest ogólnie komentowany w czasopismach, jest to, że są długie i trudne do zrozumienia. Dzięki temu Pomoc , będziesz w stanie lepiej zrozumieć zawartość dzienników i monitorować zdarzenia związane z bezpieczeństwem.
Scenariusze monitorowania
Kolejnym udogodnieniem, na które możemy zwrócić uwagę w przypadku Zeeka, jest możliwość posiadania predefiniowanych i gotowych do użycia skryptów. Służą do wykonywania często wykorzystywanych czynności monitorowania sieci, co pozwala zaoszczędzić czas.
Jednym ze scenariuszy, który możemy wskazać, jest ten, który pasuje Wykrywacz zatrzymania HTTP ten Służy do wykrywania ataków DDoS typu HTTP Stalling, aby zorientować się, że ten typ DDoS wykorzystuje jeden z najważniejszych błędów serwera WWW.
Polega na niemożności określenia, czy zdalny klient jest połączony z serwerem za pośrednictwem wolnego połączenia. Lub, jeśli ten sam klient wysyła dane bez kontroli z bardzo małą prędkością. Dlatego serwer WWW nie może tworzyć zapowiedź poniżej ostrożny anuluj to połączenie po chwili lub po prostu je zakończ. Jeśli Twój serwer sieciowy ma ograniczoną pojemność, może łatwo zostać dotknięty tego typu atakiem.
Jeśli chcesz użyć tego lub innego skryptu, musisz wpisać oficjalna strona internetowa społeczeństwo Światło rdzenia Zeek obsługuje dostęp do niego za pośrednictwem oficjalnego repozytorium Github. W tej samej witrynie znajdują się również inne zasoby, które pomogą Ci rozpocząć pracę z narzędziem.
Ciekawość Zeeka
Kiedy słyszysz lub mówisz słowo brat, o czym ci ono przypomina? Czy słowo „Bromance” lub „Bro Culture” brzmi znajomo? Jak widzieliśmy, program Zeek został nazwany już wcześniej Brat ten Jednak znaczenie słowa „Bro” w mowie potocznej odnosi się do środowisk, które mają niewielki lub żaden związek z celem tego rozwiązania bezpieczeństwa komputerowego. To tyle, że firma opracowująca rozwiązanie ryzykuje, że potencjalni lub obecni klienci mogą mieć błędne wyobrażenie o pierwotnym celu rozwiązania.
Dlatego decyzją podjętą przez zespół zarządzający zdecydowano o zmianie nazwy. Tak naprawdę Zeek to marka, która istniała już w głowach pierwszej grupy osób, które rozpoczęły pracę nad projektem. Dlatego nie minęło dużo czasu, zanim znaleźli nazwę zastępczą.
Jak pobrać Zeek
Dostęp do niego zastaw aby pobrać wszystkie niezbędne pliki. Otrzymasz kod źródłowy aktualnej wersji poprawionej, a także poprzedniej wersji, która będzie obsługiwana do października tego roku. Krótko mówiąc, otrzymasz dokumentację, której potrzebujesz, aby uzyskać potrzebne wsparcie, a także aktywną społeczność, która często przyczynia się do ulepszeń Zeek. ten
Jeśli nie masz pewności, czy wybrać to narzędzie, czy nie, mają aplikację internetową, która pozwala wypróbować podstawowe funkcje w czasie rzeczywistym. Korzystając z tego linku, nie będziesz potrzebować konta do sprawdzenia. Otrzymasz krótkie objaśnienie każdej jednostki oraz blankiet do testowania poleceń i kodów.