Zeek 6 lançado com suporte a linguagem JavaScript via plugin

E foi lançado o Zeek 6 com suporte a linguagem JavaScript via plugin ZeekJS. Confira as novidades e veja como instalar no Linux.

Zeek (anteriormente distribuído sob o nome de Bro) é uma plataforma de análise de tráfego focada principalmente, mas não se limitando ao monitoramento de eventos relacionados à segurança.

A plataforma fornece módulos para análise e análise de vários protocolos de rede da camada de aplicação, levando em consideração o estado das conexões e permitindo gerar um log detalhado (arquivo) da atividade da rede.

No Zeek é proposta uma linguagem específica de domínio para escrever scripts para monitorizar e detetar anomalias, tendo em conta as especificidades de infraestruturas específicas.

O sistema é otimizado para uso em redes de alta largura de banda. Uma API é fornecida para integração com sistemas de informação de terceiros e troca de dados em tempo real.

Novidades do Zeek 6

Zeek 6 lançado com suporte a linguagem JavaScript via plugin

No Zeek 6.0 destaca-se que agora foi incluído o plugin ZeekJS, que permite usar a linguagem JavaScript para scripts, ao invés da linguagem específica de domínio do Zeek.

O acesso JavaScript à API Zeek abrange mais de 500 eventos, variáveis ​​e funções e a implementação é baseada em libnode (uma variante C++ de Node.js).

Outra mudança que se destaca é uma revisão do cmake, que introduz uma nova API para desenvolvedores de plugins e remove muitas compilações remanescentes da era Bro.

É mencionado que uma camada de compatibilidade ainda é mantida para manter o código cmake do plug-in existente funcional, mas todos os autores de plug-ins devem aumentar o requisito de versão do cmake para 3.15, correspondendo ao de Zeek.

Além disso, observa-se que o Zeek 6 continua o trabalho iniciado no 5.2 para oferecer suporte a scanners embutidos com tecnologia Spicy e agora está totalmente integrado ao Zeek. É mencionado que os analisadores de protocolo Finger e Syslog foram alterados para usar o Spicy.

Das outras alterações presentes no Zeek 6, destacam-se:

  • O ZeekControl agora oferece suporte a vários registradores. Quando vários nós de log são configurados
    no ZeekControl node.cfg, por padrão, a lógica do arquivo de log adiciona um nome de logger como um sufixo ao nome do arquivo.
  • Os scripts agora têm a capacidade de carregar dados no formato JSON (função from_json() adicionada).
  • Adicionado suporte para manter e arquivar vários logs associados a diferentes arquivos ao mesmo tempo em zeekctl e zeek-archiver.
  • Intervalos de intranet como 192.168.0.0/16 agora são tratados e registrados como endereços locais por padrão.
  • Por padrão, a funcionalidade de coleta centralizada de métricas está desativada (anteriormente, o nó de controle na porta de rede 9911 recebia métricas via Prometheus).
  • Os eventos Zeek agora contêm carimbos de data/hora da rede. Para eventos agendados, o timestamp
    representa o horário da rede para o qual o evento está agendado; caso contrário,
    será o horário da rede no momento em que o evento foi criado.

Para saber mais sobre essa versão do Zeek, acesse a nota de lançamento.

Como instalar ou atualizar o Zeek

Para os interessados ​​em poder instalar o Zeek em seu sistema, devem saber que os binários pré-construídos são oferecidos através do openSUSE Build Service e basta escolher a distribuição para fornecer os comandos de instalação.

Por exemplo, para o caso do Ubuntu 23.04:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_23.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_23.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek

No caso daqueles que são usuários do Arch Linux, eles devem ter apenas o repositório ou AUR ativado e digite em um terminal:
yay -S zeek

Se você quiser compilar o código sozinho ou aprender mais, pode consultar a documentação do Zeek no seguinte endereço.

Deixe um comentário

Sair da versão mobile