Zeek
Zeek とは何ですか?
Zeekネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。
Zeek は、1995 年に Vern Paxson が LBNL で Bro として開発したオープンソースのネットワーク セキュリティ モニターで、大量のトラフィックを解析して conn、http、dns、ssl、kerberos、files などの構造化ログを生成し、強力なイベント駆動スクリプト言語を提供します。シグネチャ専用の IDS と異なり、Zeek は挙動、ベースライン、プロトコル セマンティクスを重視するため、SOC 分析、インシデント レスポンス、脅威ハンティング、研究に適しています。企業、ISP、学術ネットワークの TAP に広く展開され、Suricata、SIEM、Corelight などのプラットフォームと連携します。運用者は Zeek スクリプトでデータを強化し、Notice を発火させ、下流の検知パイプラインに情報を渡します。
● 例
- 01
Zeek の conn.log と ssl.log を用いて、C2 のドメイン フロンティングを示唆する異常な TLS SNI を検出する。
- 02
Zeek スクリプトで異常に大きい外向き DNS 応答を検出し、DNS トンネリングを警告する。
● よくある質問
Zeek とは何ですか?
ネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Zeek とはどういう意味ですか?
ネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。
Zeek はどのように機能しますか?
Zeek は、1995 年に Vern Paxson が LBNL で Bro として開発したオープンソースのネットワーク セキュリティ モニターで、大量のトラフィックを解析して conn、http、dns、ssl、kerberos、files などの構造化ログを生成し、強力なイベント駆動スクリプト言語を提供します。シグネチャ専用の IDS と異なり、Zeek は挙動、ベースライン、プロトコル セマンティクスを重視するため、SOC 分析、インシデント レスポンス、脅威ハンティング、研究に適しています。企業、ISP、学術ネットワークの TAP に広く展開され、Suricata、SIEM、Corelight などのプラットフォームと連携します。運用者は Zeek スクリプトでデータを強化し、Notice を発火させ、下流の検知パイプラインに情報を渡します。
Zeek からどのように防御しますか?
Zeek に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Zeek の別名は何ですか?
一般的な別名: Bro, Zeek NSM, Corelight。
● 関連用語
- forensics-ir№ 722
ネットワークフォレンジック
ネットワークトラフィックとメタデータを取得・記録・解析し、セキュリティ事象の調査と攻撃者活動の再構成を行う領域。
- network-security№ 547
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
- defense-ops№ 1117
Suricata
Open Information Security Foundation (OISF) が維持する、高性能なオープンソース ネットワーク IDS / IPS / セキュリティ モニタリング エンジン。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- network-security№ 295
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
- network-security№ 048
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
● 関連項目
- № 1245Wireshark