מהי Zeek?
Zeek (זיק), נקראה בעבר בשם Bro, היא מסגרת לניתוח רשת בקוד פתוח.
Zeek חזקה מאוד לניטור אבטחת רשת והיא משמשת בעיקר לאיתור וניתוח אירועי אבטחה.
Zeek פועלת על ידי ניטור פסיבי של תעבורת הרשת ולאחר מכן ניתוחה בזמן אמת כדי לזהות פעילויות חשודות.
זה יכול לרשום עסקאות ולחלץ קבצים ממספר פרוטוקולים, לעזור לאנשי אבטחת רשת להבין את התנהגות תעבורת
הרשת שלהם ולאתר איומים פוטנציאליים.
סקריפטים של Zeek מרחיבים את הפונקציונליות שלה ומאפשרים למשתמשים ליצור ניתוחים מותאמים אישית.
Zeek מוערכת במיוחד בגלל יכולות הרישום המפורטות שלה, הגמישות של שפת הסקריפט שלה והיכולת שלה
להתרחב כדי להתמודד עם רוחבי פס גבוהים מאוד.
שימושים של מערכת Zeek
Zeek משמש במגוון דרכים באבטחת רשת וניטור רשת.
להלן כמה מהשימושים העיקריים של Zeek:
ניטור אבטחה
זיהוי חדירה: Zeek מסוגלת לזהות דפוסים המעידים על התקפות, תעבורת תוכנות זדוניות ופעילויות זדוניות אחרות.
Zeek תואמת חתימות כמו מערכות מסורתיות לזיהוי חדירה וגם מנתחת את ההקשר של תקשורת רשת.
זיהוי חריגות: על ידי ניתוח התנהגות רשת אופיינית, Zeek יכולה לזהות חריגות שעשויות לסמן אירוע אבטחה,
כגון נפחי תעבורה חריגים או חיבורים לדומיינים חשודים.
ניתוח תנועה
ניתוח פרוטוקול: Zeek תומכת במגוון רחב של פרוטוקולי רשת ויכולה לספק תובנות עמוקות על פעולות הרשת על ידי חילוץ
ורישום מידע בהי לבל מהתעבורה שהיא מנטרת.
רישום חיבורים: Zeek רושמת מטא נתונים לגבי כל חיבור (TCP, UDP, ICMP) שהיא רואה, כולל כותרות,
חותמות זמן ומצבי הפעלה.
זיהוי פלילי ברשת
נתונים היסטוריים: היומנים המקיפים שנוצרו על ידי Zeek יכולים לשמש לניתוח פורנזי לאחר אירוע אבטחה כדי להבין
את רצף האירועים ואפשר לזהות את העבריינים.
ניתוח קבצים: Zeek יכולה לחלץ קבצים מתזרימי רשת בזמן אמת, מה שמאפשר בדיקה של תוכן הקבצים ששודרו ברשת.
ניטור ביצועים
תקינות הרשת: ניטור וניתוח תעבורת רשת יכולים לסייע בזיהוי בעיות ביצועים, כגון צווארי בקבוק וחיבורים כושלים.
משימות מותאמות אישית
סקריפטים: שפת הסקריפט של Zeek מאפשרת למשתמשים לכתוב סקריפטים מותאמים אישית המותאמים
לצרכי ניטור וניתוח ספציפיים.
זה יכול לכלול כל דבר, החל מזיהוי סוגים ספציפיים של שימוש לרעה ועד תמיכה בפרוטוקולי רשת מיוחדים.
אינטגרציה עם כלים אחרים
העשרת נתונים: ניתן לשלב יומני Zeek עם כלים אחרים לניתוח נוסף, כגון מערכות SIEM או כלים להדמיה
של נתונים כמו Grafana.
מודיעין איומים: אינטגרציה עם הזנות של מודיעין איומים יכולה לשפר את יכולות הזיהוי של Zeek על ידי מתן הקשר
לפעילות הרשת בהתבסס על שחקנים גרועים ידועים או אינדיקטורים של פשרה.