Zeek
O que é Zeek?
ZeekMonitor de seguranca de rede open source (antes Bro) que transforma trafego em logs estruturados, cientes de protocolo, e scripts para deteccao de ameacas.
Zeek, originalmente escrito por Vern Paxson no LBNL em 1995 com o nome Bro, e um monitor de seguranca de rede open source que processa trafego de alto volume em logs estruturados (conn, http, dns, ssl, kerberos, files, etc.) e oferece uma poderosa linguagem de script orientada a eventos. Ao contrario de IDSs puramente baseados em assinaturas, o Zeek enfatiza comportamento, baselining e semantica de protocolo, sendo ideal para analytics de SOC, resposta a incidentes, threat hunting e pesquisa. E implantado em TAPs em empresas, ISPs e redes academicas, integrando-se com Suricata, SIEMs e plataformas como Corelight. Operadores usam scripts Zeek para enriquecer dados, gerar notices e alimentar pipelines de deteccao downstream.
● Exemplos
- 01
Usar conn.log e ssl.log do Zeek para detectar SNIs TLS incomuns indicativos de domain fronting de C2.
- 02
Escrever um script Zeek que sinaliza respostas DNS de saida muito grandes, indicio de tunneling DNS.
● Perguntas frequentes
O que é Zeek?
Monitor de seguranca de rede open source (antes Bro) que transforma trafego em logs estruturados, cientes de protocolo, e scripts para deteccao de ameacas. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Zeek?
Monitor de seguranca de rede open source (antes Bro) que transforma trafego em logs estruturados, cientes de protocolo, e scripts para deteccao de ameacas.
Como se defender contra Zeek?
As defesas contra Zeek costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Zeek?
Nomes alternativos comuns: Bro, Zeek NSM, Corelight.