Zeek
Qu'est-ce que Zeek ?
ZeekMoniteur de securite reseau open source (anciennement Bro) qui transforme le trafic en logs structures et conscients des protocoles, exploitables via un langage de script.
Zeek, ecrit a l'origine par Vern Paxson au LBNL en 1995 sous le nom Bro, est un moniteur de securite reseau open source qui analyse du trafic a haut debit pour produire des logs structures (conn, http, dns, ssl, kerberos, files, etc.) et expose un puissant langage de script oriente evenements. Contrairement a un IDS purement base sur signatures, Zeek met l'accent sur le comportement, le baselining et la semantique des protocoles, ce qui en fait un atout pour l'analytique SOC, la reponse a incident, le threat hunting et la recherche. Il est deploye en TAP dans les entreprises, ISP et reseaux academiques, et s'integre avec Suricata, des SIEM et des plateformes comme Corelight. Les operateurs ecrivent des scripts Zeek pour enrichir les donnees, declencher des notices et alimenter des pipelines de detection en aval.
● Exemples
- 01
Utiliser conn.log et ssl.log de Zeek pour detecter des SNI TLS inhabituels, signes de domain fronting C2.
- 02
Ecrire un script Zeek qui detecte des reponses DNS sortantes anormalement larges, indices de tunneling DNS.
● Questions fréquentes
Qu'est-ce que Zeek ?
Moniteur de securite reseau open source (anciennement Bro) qui transforme le trafic en logs structures et conscients des protocoles, exploitables via un langage de script. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Zeek ?
Moniteur de securite reseau open source (anciennement Bro) qui transforme le trafic en logs structures et conscients des protocoles, exploitables via un langage de script.
Comment fonctionne Zeek ?
Zeek, ecrit a l'origine par Vern Paxson au LBNL en 1995 sous le nom Bro, est un moniteur de securite reseau open source qui analyse du trafic a haut debit pour produire des logs structures (conn, http, dns, ssl, kerberos, files, etc.) et expose un puissant langage de script oriente evenements. Contrairement a un IDS purement base sur signatures, Zeek met l'accent sur le comportement, le baselining et la semantique des protocoles, ce qui en fait un atout pour l'analytique SOC, la reponse a incident, le threat hunting et la recherche. Il est deploye en TAP dans les entreprises, ISP et reseaux academiques, et s'integre avec Suricata, des SIEM et des plateformes comme Corelight. Les operateurs ecrivent des scripts Zeek pour enrichir les donnees, declencher des notices et alimenter des pipelines de detection en aval.
Comment se défendre contre Zeek ?
Les défenses contre Zeek combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Zeek ?
Noms alternatifs courants : Bro, Zeek NSM, Corelight.
● Termes liés
- forensics-ir№ 722
Forensique réseau
Capture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
- network-security№ 547
Système de détection d'intrusion (IDS)
Contrôle de sécurité passif qui surveille l'activité réseau ou hôte à la recherche de comportements malveillants et émet des alertes sans bloquer le trafic.
- defense-ops№ 1117
Suricata
Moteur open source haute performance d'IDS, IPS et supervision de securite reseau, maintenu par l'Open Information Security Foundation (OISF).
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- network-security№ 295
Inspection approfondie des paquets (DPI)
Technique d'inspection qui examine la totalité de la charge utile des paquets, pas seulement leurs en-têtes, pour identifier applications, contenus et menaces.
- network-security№ 048
Détection par anomalie
Approche de détection qui établit une base de référence de l'activité normale et signale comme potentiellement malveillantes les déviations par rapport à celle-ci.
● Voir aussi
- № 1245Wireshark