Zeek
Was ist Zeek?
ZeekEin quelloffener Network Security Monitor (frueher Bro), der Netzwerkverkehr in strukturierte, protokollbewusste Logs und Skripte fuer die Bedrohungserkennung verwandelt.
Zeek, urspruenglich 1995 von Vern Paxson am LBNL als Bro entwickelt, ist ein quelloffener Network Security Monitor, der hohes Verkehrsaufkommen in strukturierte Logs (conn, http, dns, ssl, kerberos, files usw.) zerlegt und eine maechtige ereignisbasierte Skriptsprache bereitstellt. Anders als rein signaturbasierte IDS legt Zeek den Fokus auf Verhalten, Baselining und Protokollsemantik, was es ideal fuer SOC-Analytics, Incident Response, Threat Hunting und Forschung macht. Es wird an Netzwerk-TAPs in Unternehmen, bei ISPs und in akademischen Netzen eingesetzt und integriert sich mit Suricata, SIEMs und Plattformen wie Corelight. Betreiber nutzen Zeek-Skripte, um Daten anzureichern, Notices auszuloesen und nachgelagerte Detection-Pipelines zu speisen.
● Beispiele
- 01
Mit Zeek-conn.log und ssl.log auffaellige TLS-Servernamen erkennen, die auf C2-Domain-Fronting hindeuten.
- 02
Ein Zeek-Skript markiert ungewoehnlich grosse ausgehende DNS-Antworten als Hinweis auf DNS-Tunneling.
● Häufige Fragen
Was ist Zeek?
Ein quelloffener Network Security Monitor (frueher Bro), der Netzwerkverkehr in strukturierte, protokollbewusste Logs und Skripte fuer die Bedrohungserkennung verwandelt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Zeek?
Ein quelloffener Network Security Monitor (frueher Bro), der Netzwerkverkehr in strukturierte, protokollbewusste Logs und Skripte fuer die Bedrohungserkennung verwandelt.
Wie funktioniert Zeek?
Zeek, urspruenglich 1995 von Vern Paxson am LBNL als Bro entwickelt, ist ein quelloffener Network Security Monitor, der hohes Verkehrsaufkommen in strukturierte Logs (conn, http, dns, ssl, kerberos, files usw.) zerlegt und eine maechtige ereignisbasierte Skriptsprache bereitstellt. Anders als rein signaturbasierte IDS legt Zeek den Fokus auf Verhalten, Baselining und Protokollsemantik, was es ideal fuer SOC-Analytics, Incident Response, Threat Hunting und Forschung macht. Es wird an Netzwerk-TAPs in Unternehmen, bei ISPs und in akademischen Netzen eingesetzt und integriert sich mit Suricata, SIEMs und Plattformen wie Corelight. Betreiber nutzen Zeek-Skripte, um Daten anzureichern, Notices auszuloesen und nachgelagerte Detection-Pipelines zu speisen.
Wie schützt man sich gegen Zeek?
Schutzmaßnahmen gegen Zeek kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Zeek?
Übliche alternative Bezeichnungen: Bro, Zeek NSM, Corelight.
● Verwandte Begriffe
- forensics-ir№ 722
Netzwerkforensik
Erfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
- network-security№ 547
Intrusion Detection System (IDS)
Eine passive Sicherheitskomponente, die Netzwerk- oder Host-Aktivität auf böswilliges Verhalten überwacht und Alarme auslöst, ohne Verkehr zu blockieren.
- defense-ops№ 1117
Suricata
Eine quelloffene, hochperformante Engine fuer Netzwerk-IDS, IPS und Security Monitoring, gepflegt von der Open Information Security Foundation (OISF).
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- network-security№ 295
Deep Packet Inspection (DPI)
Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
- network-security№ 048
Anomaliebasierte Erkennung
Ein Erkennungsansatz, der eine Baseline normalen Verhaltens aufbaut und Abweichungen davon als potenziell bösartig kennzeichnet.
● Siehe auch
- № 1245Wireshark