Zeek
Что такое Zeek?
ZeekОткрытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз.
Zeek, изначально написанный Vern Paxson в LBNL в 1995 году под именем Bro, — это открытый сетевой монитор безопасности, который разбирает большой объём трафика в структурированные логи (conn, http, dns, ssl, kerberos, files и др.) и предоставляет мощный событийно-ориентированный язык скриптов. В отличие от чисто сигнатурных IDS, Zeek делает упор на поведение, базлайнинг и семантику протоколов, что делает его идеальным для аналитики SOC, реагирования на инциденты, threat hunting и исследований. Его развёртывают на сетевых TAP в компаниях, у провайдеров и в академических сетях, интегрируют с Suricata, SIEM и платформами вроде Corelight. Операторы пишут скрипты Zeek для обогащения данных, генерации notices и питания нижестоящих детекционных пайплайнов.
● Примеры
- 01
Использование conn.log и ssl.log Zeek для обнаружения необычных TLS SNI, указывающих на domain fronting C2.
- 02
Скрипт Zeek помечает аномально большие исходящие DNS-ответы как признак DNS-туннелирования.
● Частые вопросы
Что такое Zeek?
Открытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз. Относится к категории Защита и операции в кибербезопасности.
Что означает Zeek?
Открытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз.
Как работает Zeek?
Zeek, изначально написанный Vern Paxson в LBNL в 1995 году под именем Bro, — это открытый сетевой монитор безопасности, который разбирает большой объём трафика в структурированные логи (conn, http, dns, ssl, kerberos, files и др.) и предоставляет мощный событийно-ориентированный язык скриптов. В отличие от чисто сигнатурных IDS, Zeek делает упор на поведение, базлайнинг и семантику протоколов, что делает его идеальным для аналитики SOC, реагирования на инциденты, threat hunting и исследований. Его развёртывают на сетевых TAP в компаниях, у провайдеров и в академических сетях, интегрируют с Suricata, SIEM и платформами вроде Corelight. Операторы пишут скрипты Zeek для обогащения данных, генерации notices и питания нижестоящих детекционных пайплайнов.
Как защититься от Zeek?
Защита от Zeek обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Zeek?
Распространённые альтернативные названия: Bro, Zeek NSM, Corelight.
● Связанные термины
- forensics-ir№ 722
Сетевая криминалистика
Захват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
- network-security№ 547
Система обнаружения вторжений (IDS)
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
- defense-ops№ 1117
Suricata
Высокопроизводительный открытый движок сетевого IDS, IPS и мониторинга безопасности, сопровождаемый Open Information Security Foundation (OISF).
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- network-security№ 295
Глубокая инспекция пакетов (DPI)
Метод инспекции, при котором анализируется не только заголовок, но и вся полезная нагрузка пакетов для распознавания приложений, контента и угроз.
- network-security№ 048
Обнаружение по аномалиям
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
● См. также
- № 1245Wireshark