Zeek
¿Qué es Zeek?
ZeekMonitor de seguridad de red de codigo abierto (antes Bro) que convierte el trafico en logs estructurados y conscientes del protocolo y en scripts para deteccion de amenazas.
Zeek, escrito por Vern Paxson en LBNL en 1995 con el nombre Bro, es un monitor de seguridad de red de codigo abierto que analiza trafico de gran volumen y produce logs estructurados (conn, http, dns, ssl, kerberos, files, etc.), junto con un potente lenguaje de scripting orientado a eventos. A diferencia de un IDS basado solo en firmas, Zeek se centra en comportamiento, lineas base y semantica de protocolo, lo que lo hace ideal para analitica SOC, respuesta a incidentes, threat hunting e investigacion. Se despliega en taps de empresas, ISPs y redes academicas, e integra con Suricata, SIEMs y plataformas como Corelight. Los operadores usan scripts Zeek para enriquecer datos, lanzar notices y alimentar pipelines de deteccion.
● Ejemplos
- 01
Usar conn.log y ssl.log de Zeek para detectar nombres de servidor TLS inusuales que indiquen domain fronting de C2.
- 02
Escribir un script Zeek que senale respuestas DNS salientes muy grandes, indicativas de tunneling DNS.
● Preguntas frecuentes
¿Qué es Zeek?
Monitor de seguridad de red de codigo abierto (antes Bro) que convierte el trafico en logs estructurados y conscientes del protocolo y en scripts para deteccion de amenazas. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Zeek?
Monitor de seguridad de red de codigo abierto (antes Bro) que convierte el trafico en logs estructurados y conscientes del protocolo y en scripts para deteccion de amenazas.
¿Cómo funciona Zeek?
Zeek, escrito por Vern Paxson en LBNL en 1995 con el nombre Bro, es un monitor de seguridad de red de codigo abierto que analiza trafico de gran volumen y produce logs estructurados (conn, http, dns, ssl, kerberos, files, etc.), junto con un potente lenguaje de scripting orientado a eventos. A diferencia de un IDS basado solo en firmas, Zeek se centra en comportamiento, lineas base y semantica de protocolo, lo que lo hace ideal para analitica SOC, respuesta a incidentes, threat hunting e investigacion. Se despliega en taps de empresas, ISPs y redes academicas, e integra con Suricata, SIEMs y plataformas como Corelight. Los operadores usan scripts Zeek para enriquecer datos, lanzar notices y alimentar pipelines de deteccion.
¿Cómo defenderse de Zeek?
Las defensas contra Zeek combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Zeek?
Nombres alternativos comunes: Bro, Zeek NSM, Corelight.
● Términos relacionados
- forensics-ir№ 722
Forense de red
Captura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante.
- network-security№ 547
Sistema de detección de intrusiones (IDS)
Control de seguridad pasivo que supervisa la actividad de red o de host en busca de comportamiento malicioso y genera alertas sin bloquear el tráfico.
- defense-ops№ 1117
Suricata
Motor de IDS, IPS y monitorizacion de seguridad de red de alto rendimiento y codigo abierto, mantenido por la Open Information Security Foundation (OISF).
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- network-security№ 295
Inspección profunda de paquetes (DPI)
Técnica de inspección que examina toda la carga útil de los paquetes —no solo las cabeceras— para identificar aplicaciones, contenido y amenazas.
- network-security№ 048
Detección basada en anomalías
Enfoque de detección que construye una línea base de actividad normal y marca como potencialmente maliciosas las desviaciones respecto a ella.
● Véase también
- № 1245Wireshark