Zeek : outil de sécurité réseau open source
Il y a quelques mois, notre collègue Linux Post Install a partagé un article dédié à Zeek ici sur le blog, dans lequel il donne un bref résumé et aborde ses fonctionnalités, parmi quelques informations supplémentaires. La raison d’en parler est que le lancement de la nouvelle version de ce système d’analyse du trafic réseau et de détection d’intrusion a été récemment annoncé, atteignant sa nouvelle version, “Zeek 6.0”.
Pour ceux qui ne connaissent toujours pas Zeek, Je recommande la lecture de l’article de notre partenaire, car il l’explique à merveille. Mais en prenant certaines des informations qu’il nous a partagées sur son blog, on peut dire que Zeek (précédemment distribué sous le nom de Bro) est une plateforme d’analyse de trafic principalement axé, mais sans s’y limiter, sur la surveillance des événements liés à la sécurité.
La plateforme fournit des modules pour analyser et analyser divers protocoles de réseau de couche d’applicationprenant en compte l’état des connexions et permettant de générer un journal détaillé (archive) de l’activité du réseau.
Dans Zeek, un langage spécifique au domaine est proposé pour écrire des scripts pour surveiller et détecter les anomalies, en tenant compte des spécificités des infrastructures spécifiques. Le système est optimisé pour une utilisation dans des réseaux à large bande passante. Une API est fournie pour l’intégration avec des systèmes d’information tiers et l’échange de données en temps réel.
Principales nouveautés de Zeek 6.0
Dans cette nouvelle version de Zeek 6.0 qui est présentée, il est mis en évidence que désormais Le plugin ZeekJS est inclus, Quoi permet d’utiliser le langage JavaScript pour les scripts, au lieu du langage spécifique au domaine de Zeek. L’accès JavaScript à l’API Zeek couvre plus de 500 événements, variables et fonctions et l’implémentation est basée sur libnode (une variante C++ de Node.js).
Un autre changement qui se démarque est quee introduit une révision de cmake, qui arrive introduit une nouvelle API pour les développeurs de plugins et supprime de nombreuses versions restantes du Bro. Il est mentionné qu’une couche de compatibilité est toujours conservée pour que le code cmake du plugin existant reste fonctionnel, mais tous les auteurs de plugins devraient augmenter leur exigence de version cmake à 3.15, correspondant à celle de Zeek.
En plus de cela, il est souligné quee Zeek 6 continue le travail qui a commencé en 5.2 pour prendre en charge les analyseurs embarqués avec la technologie Spicy et est maintenant entièrement intégré à Zeek. Il est mentionné que les analyseurs de protocole Finger et Syslog ont été modifiés pour utiliser Spicy.
Des autres changements qui se démarquent :
- ZeekControl prend désormais en charge plusieurs enregistreurs. Lors de la configuration de plusieurs nœuds de registre
Dans le node.cfg de ZeekControl, par défaut, la logique du fichier journal ajoute un nom d’enregistreur comme suffixe au nom du fichier. - Les scripts ont désormais la possibilité de charger des données au format JSON (ajout de la fonction from_json()).
- Ajout de la prise en charge de la maintenance et de l’archivage de plusieurs journaux associés à différentes archives en même temps dans zeekctl et zeek-archiver.
- Les plages intranet telles que 192.168.0.0/16 sont désormais traitées et enregistrées comme des adresses locales par défaut.
- Par défaut, la fonctionnalité de collecte centralisée de métriques est désactivée (auparavant, le nœud de contrôle sur le port réseau 9911 recevait des métriques via Prometheus).
- Les événements Zeek contiennent désormais des horodatages réseau. Pour les événements programmés, l’horodatage
représente l’heure du réseau pour laquelle l’événement est programmé ; au contraire,
est l’heure du réseau au moment de la création de l’événement.
Finalement Si vous êtes intéressé à en savoir plus à ce sujet à propos de ce lancement, vous pouvez vérifier les détails dans le lien suivant.
Comment installer Zeek sur Linux ?
Pour ceux qui souhaitent pouvoir installer Zeek sur leur système, ils doivent savoir que des binaires pré-construits sont proposés via le service de construction openSUSE et qu’il suffit de choisir la distribution pour nous fournir les commandes d’installation.
Par exemple, pour le cas d’Ubuntu 23.04 :
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_23.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_23.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
Dans le cas de ceux qui sont des utilisateurs d’Arch Linux, ils ne doivent avoir que le référentiel AUR activé et taper dans un terminal :
yay -S zeek
Si vous souhaitez compiler le code vous-même ou en savoir plus, vous pouvez consulter la documentation Zeek au lien suivant.
