Zeek
Что такое Zeek?
ZeekОткрытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз.
Zeek, изначально написанный Vern Paxson в LBNL в 1995 году под именем Bro, — это открытый сетевой монитор безопасности, который разбирает большой объём трафика в структурированные логи (conn, http, dns, ssl, kerberos, files и др.) и предоставляет мощный событийно-ориентированный язык скриптов. В отличие от чисто сигнатурных IDS, Zeek делает упор на поведение, базлайнинг и семантику протоколов, что делает его идеальным для аналитики SOC, реагирования на инциденты, threat hunting и исследований. Его развёртывают на сетевых TAP в компаниях, у провайдеров и в академических сетях, интегрируют с Suricata, SIEM и платформами вроде Corelight. Операторы пишут скрипты Zeek для обогащения данных, генерации notices и питания нижестоящих детекционных пайплайнов.
● Примеры
- 01
Использование conn.log и ssl.log Zeek для обнаружения необычных TLS SNI, указывающих на domain fronting C2.
- 02
Скрипт Zeek помечает аномально большие исходящие DNS-ответы как признак DNS-туннелирования.
● Частые вопросы
Что такое Zeek?
Открытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз. Относится к категории Защита и операции в кибербезопасности.
Что означает Zeek?
Открытый сетевой монитор безопасности (ранее Bro), который превращает трафик в структурированные, протоколозависимые логи и скрипты для обнаружения угроз.
Как защититься от Zeek?
Защита от Zeek обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Zeek?
Распространённые альтернативные названия: Bro, Zeek NSM, Corelight.