Zeek
O que é Zeek?
ZeekMonitor de seguranca de rede open source (antes Bro) que transforma trafego em logs estruturados, cientes de protocolo, e scripts para deteccao de ameacas.
Zeek, originalmente escrito por Vern Paxson no LBNL em 1995 com o nome Bro, e um monitor de seguranca de rede open source que processa trafego de alto volume em logs estruturados (conn, http, dns, ssl, kerberos, files, etc.) e oferece uma poderosa linguagem de script orientada a eventos. Ao contrario de IDSs puramente baseados em assinaturas, o Zeek enfatiza comportamento, baselining e semantica de protocolo, sendo ideal para analytics de SOC, resposta a incidentes, threat hunting e pesquisa. E implantado em TAPs em empresas, ISPs e redes academicas, integrando-se com Suricata, SIEMs e plataformas como Corelight. Operadores usam scripts Zeek para enriquecer dados, gerar notices e alimentar pipelines de deteccao downstream.
● Exemplos
- 01
Usar conn.log e ssl.log do Zeek para detectar SNIs TLS incomuns indicativos de domain fronting de C2.
- 02
Escrever um script Zeek que sinaliza respostas DNS de saida muito grandes, indicio de tunneling DNS.
● Perguntas frequentes
O que é Zeek?
Monitor de seguranca de rede open source (antes Bro) que transforma trafego em logs estruturados, cientes de protocolo, e scripts para deteccao de ameacas. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Zeek?
Monitor de seguranca de rede open source (antes Bro) que transforma trafego em logs estruturados, cientes de protocolo, e scripts para deteccao de ameacas.
Como funciona Zeek?
Zeek, originalmente escrito por Vern Paxson no LBNL em 1995 com o nome Bro, e um monitor de seguranca de rede open source que processa trafego de alto volume em logs estruturados (conn, http, dns, ssl, kerberos, files, etc.) e oferece uma poderosa linguagem de script orientada a eventos. Ao contrario de IDSs puramente baseados em assinaturas, o Zeek enfatiza comportamento, baselining e semantica de protocolo, sendo ideal para analytics de SOC, resposta a incidentes, threat hunting e pesquisa. E implantado em TAPs em empresas, ISPs e redes academicas, integrando-se com Suricata, SIEMs e plataformas como Corelight. Operadores usam scripts Zeek para enriquecer dados, gerar notices e alimentar pipelines de deteccao downstream.
Como se defender contra Zeek?
As defesas contra Zeek costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Zeek?
Nomes alternativos comuns: Bro, Zeek NSM, Corelight.
● Termos relacionados
- forensics-ir№ 722
Forense de rede
Captura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
- network-security№ 547
Sistema de Detecção de Intrusão (IDS)
Controle de segurança passivo que monitora atividades de rede ou host em busca de comportamento malicioso e gera alertas, sem bloquear o tráfego.
- defense-ops№ 1117
Suricata
Motor open source de alto desempenho para IDS, IPS e monitoramento de seguranca de rede, mantido pela Open Information Security Foundation (OISF).
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- network-security№ 295
Inspeção Profunda de Pacotes (DPI)
Técnica de inspeção que examina todo o payload dos pacotes de rede — não apenas os cabeçalhos — para identificar aplicações, conteúdo e ameaças.
- network-security№ 048
Detecção Baseada em Anomalias
Abordagem de detecção que estabelece uma linha de base de atividade normal e sinaliza desvios em relação a ela como potencialmente maliciosos.
● Veja também
- № 1245Wireshark