Zeek
Zeek とは何ですか?
Zeekネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。
Zeek は、1995 年に Vern Paxson が LBNL で Bro として開発したオープンソースのネットワーク セキュリティ モニターで、大量のトラフィックを解析して conn、http、dns、ssl、kerberos、files などの構造化ログを生成し、強力なイベント駆動スクリプト言語を提供します。シグネチャ専用の IDS と異なり、Zeek は挙動、ベースライン、プロトコル セマンティクスを重視するため、SOC 分析、インシデント レスポンス、脅威ハンティング、研究に適しています。企業、ISP、学術ネットワークの TAP に広く展開され、Suricata、SIEM、Corelight などのプラットフォームと連携します。運用者は Zeek スクリプトでデータを強化し、Notice を発火させ、下流の検知パイプラインに情報を渡します。
● 例
- 01
Zeek の conn.log と ssl.log を用いて、C2 のドメイン フロンティングを示唆する異常な TLS SNI を検出する。
- 02
Zeek スクリプトで異常に大きい外向き DNS 応答を検出し、DNS トンネリングを警告する。
● よくある質問
Zeek とは何ですか?
ネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Zeek とはどういう意味ですか?
ネットワーク トラフィックをプロトコル対応の構造化ログとスクリプトに変換し、脅威検知を行うオープンソースのネットワーク セキュリティ モニター (旧 Bro)。
Zeek からどのように防御しますか?
Zeek に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Zeek の別名は何ですか?
一般的な別名: Bro, Zeek NSM, Corelight。