So installieren Sie Zeek/Bro

Zeek, zuvor als Bro bekannt, ist ein NSM (Network Security Monitor Monitor) für Linux. Tatsächlich überwacht Zeek passiv den Netzwerkverkehr. Das Beste an Zeek ist, dass es Open-Source ist und somit völlig frei ist. Weitere Informationen zu Zeek finden Sie unter https: // docs.Zeek.org/en/lts/über.Html#What-is-Zeek. In diesem Tutorial werden wir Zeek für Ubuntu überprüfen.

Erforderliche Abhängigkeiten

Bevor Sie Zeek installieren können, müssen Sie sicherstellen, dass die folgenden Installationen installiert sind:

1. Libpcap (http: // www.tcpdump.org)
2. OpenSSL -Bibliotheken (https: // www.OpenSSL.org)
3. Bind8 Bibliothek
4. Libz
5. Bash (für ZeekControl)
6. Python 3.5 oder mehr (https: // www.Python.org/)

Um die erforderlichen Abhängigkeiten zu installieren, geben Sie Folgendes ein:

sudo apt-get install CMake Make GCC G ++ Flex Bison libpcap-dev libsl-dev python3 python3-dev Swig zlib1g-dev

Als nächstes gibt es nach der Anweisung auf ihrer Website viele Möglichkeiten, das Zeek -Paket zu erhalten: https: // docs.Zeek.org/en/lts/installieren.HTML#ID2. Abhängig vom Betriebssystem, auf dem Sie sich befinden, können Sie die Anweisungen befolgen. Auf Ubuntu 20 jedoch.04, ich habe Folgendes gemacht:

1. Gehen Sie zu https: // alt.Zeek.org/download/pakete.html. Suchen Sie unten auf der Seite „Pakete für den neuesten LTS -Release -Build hier“ und klicken Sie darauf.

2. Es sollte Sie zu https: // Software führen.OpenSuse.org // herunterladen.html?Projekt = Sicherheit%3Azeek & Package = Zeek-LTS. Es gibt eine Auswahl des Betriebssystems, für die Zeek ist verfügbar. Hier habe ich angeklickt Ubuntu. Es sollte Ihnen zwei Möglichkeiten geben - (i) das Repository hinzufügen und manuell installieren oder (ii) Binärpakete direkt schnappen. Es ist sehr, sehr wichtig, dass Sie sich an Ihre Betriebssystemversion halten! Wenn Sie Ubuntu 20 haben.04 und verwenden Sie den Code für Ubuntu 20.10, es wird nicht funktionieren! Da habe ich Ubuntu 20.04, ich werde den Code schreiben, den ich verwendet habe:

Echo 'Deb http: // herunterladen.OpenSuse.org/repositories/Sicherheit:/zeek/xubuntu_20.04 / / '| sudo tee/etc/apt/Quellen.Liste.D/Sicherheit: Zeek.Liste
curl -fssl https: // herunterladen.OpenSuse.org/repositories/Sicherheit: Zeek/xubuntu_20.04/Release.Schlüssel | gpg -Dearmor | sudo tee/etc/apt/vertrauenswürdig.gpg.D/Security_Zek.gpg> /dev /null
sudo APT -Update
sudo apt installieren Zeek-LTs

Wohlgemerkt, die Installation selbst wird Platz und viel Zeit benötigen!

Hier gibt es auch eine einfachere Art, es von Github zu installieren:

Git -Klon -recursive https: // github.com/zeek/zeek
./konfigurieren
machen
Installation machen

Stellen Sie in diesem Fall sicher, dass alle Voraussetzungen auf dem neuesten Stand sind! Wenn eine einzige Voraussetzung in ihrer neuesten Version nicht installiert ist, haben Sie eine schreckliche Zeit damit. Und das eine oder andere tun, nicht beides.

3. Letzteres sollte installieren Zeek auf Ihr System!

4. Jetzt CD in die Zeek Ordner bei /opt/zeek/bin.

CD/opt/zeek/bin

5. Hier können Sie Folgendes eingeben, um Hilfe zu erhalten:

./zeek -h

Mit dem Befehl Hilfe sollten Sie in der Lage sein, alle möglichen Informationen zur Verwendung von Zeek zu sehen! Das Handbuch selbst ist ziemlich lang!

6. Als nächstes navigieren Sie zu /opt/zeek/etc, und modifizieren Sie die Knoten.CFG -Datei. Im Knoten.CFG -Datei, die Schnittstelle ändern. Verwenden Ifconfig Um herauszufinden, was Ihre Schnittstelle ist, und dann dies nach dem gleichen Anzeichen in der Knoten.CFG -Datei. In meinem Fall war die Schnittstelle Enp0S3, also habe ich die Schnittstelle = ENP0S3 festgelegt.

Es wäre ratsam, auch die zu konfigurieren Netzwerke.CFG -Datei (/opt/zeek/etc). Im Netzwerke.CFG -Datei, Wählen Sie die IP -Adressen, die Sie überwachen möchten. Setzen Sie einen Hashtag neben diejenigen, die Sie gerne weglassen möchten.

7. Wir müssen die festlegen Weg Verwendung:

echo "Exportpfad = $ path:/opt/zeek/bin" >> ~//.bashrc
Quelle ~/.bashrc

8. Als nächstes Typ ZeekControl und installieren Sie es:

Zeekctl> installieren

9. Du kannst anfangen Zeek Verwenden des folgenden Befehls:

Zeekctl> Start

Sie können die überprüfen Status Verwendung:

Zeekctl> Status

Und Sie können aufhören Zeek Verwendung:

Zeekctl> Stopp

Sie können vorbeikommen Typisierung:

Zeekctl> Ausgang

10. Einmal Zeek wurde gestoppt, Protokolldateien werden in erstellt in /opt/zeek/logs/current.

Im Notiz.Protokoll, Zeek wird diese Dinge, die es als seltsam, potenziell gefährlich oder insgesamt für schlecht betrachtet. Diese Datei ist auf jeden Fall erwähnenswert, da dies die Datei ist, in der inspektionswürdiges Material platziert wird!.

Im seltsam.Protokoll, Zeek stellt alle missgebildeten Verbindungen, fehlfunktionierende/falsch konfigurierte Hardware/Dienst oder sogar einen Hacker ein, der versucht, das System zu verwirren. In jedem Fall ist es auf Protokollebene seltsam.

Also selbst wenn Sie die Verrückten ignorieren.Protokoll, es wird vorgeschlagen, dass Sie dies nicht mit der Mitteilung tun.Protokoll. Die Bekanntmachung.Das Protokoll ähnelt einem Intrusion Detection System -Alarm. Weitere Informationen zu den verschiedenen erstellten Protokollen finden Sie unter https: // docs.Zeek.org/en/master/logs/index.html.

Standardmäßig, Zeek -Kontrolle Nimmt die Protokolle, die es erstellt, sie erzeugt, komprimiert sie und archiviert sie nach Datum. Dies geschieht jede Stunde. Sie können die Rate ändern, mit der es über durchgeführt wird Lehnrotationsinterval, das befindet sich in /opt/zeek/etc/zeekctl.CFG.

11. Standardmäßig werden alle Protokolle in einem TSV -Format erstellt. Jetzt werden wir die Protokolle in das JSON -Format verwandeln. Dafür, Zeek anhalten.

In /opt/zeek/share/zeek/site/local.Zeek, Fügen Sie Folgendes hinzu:

#Output an JSON
@load Policy/Tuning/JSON-Logs

12. Darüber hinaus können Sie Skripte schreiben, um böswillige Aktivitäten selbst zu erkennen. Skripte werden verwendet, um die Funktionalität von Zeek zu erweitern. Auf diese Weise kann der Administrator Netzwerkereignisse analysieren. Eingehende Informationen und Methodik finden Sie unter https: // docs.Zeek.org/en/master/scripting/basics.HTML#Verständnis-Skripte.

13. An diesem Punkt können Sie a verwenden SIEM (Sicherheitsinformationen und Eventmanagement) Analyse der gesammelten Daten. Insbesondere die meisten Siems, auf die ich gestoßen bin, verwenden das JSON -Dateiformat und nicht das TSV (das sind die Standardprotokolldateien). Tatsächlich sind die produzierten Protokolle großartig, aber sie zu visualisieren und zu analysieren, ist ein Schmerz! Hier kommen Siems ins Bild. Siems können Daten in Echtzeit analysieren. Darüber hinaus gibt es viele Siems auf dem Markt, einige sind teuer und einige sind Open Source. Welcher Sie auswählen, liegt ganz bei Ihnen, aber ein solches Open -Source -Siem, das Sie vielleicht in Betracht ziehen möchten, ist der Elastic Stack. Aber das ist eine Lektion für einen anderen Tag.

Hier sind einige Beispiel Siems:

• Ossim
• OSSEC
• Sagan
• Splunkfrei
• SCHNAUBEN
• Elasticsarch
• Mozdef
• Elchstapel
• Wazuh
• Apache Metron

Und viele, viele mehr!

Zeek, Auch als Bro bezeichnet, ist kein Intrusionserkennungssystem, sondern ein passiver Netzwerkverkehrsmonitor. Tatsächlich wird es nicht als Intrusionserkennungssystem, sondern als Netzwerksicherheitsmonitor (NSM) klassifiziert. In beiden Fällen erkennt es verdächtige und böswillige Aktivitäten in Netzwerken. In diesem Tutorial haben wir gelernt, wie man Zeek installiert, konfigurieren und zum Laufen bringt. So großartig Zeek beim Sammeln und Präsentieren von Daten ist, es ist dennoch eine große Menge an Daten, die Sie durchsuchen können. Hier sind Siems nützlich; Siems werden verwendet, um Daten in Echtzeit zu visualisieren und zu analysieren. Wir werden jedoch das Vergnügen sparen, Siems für einen weiteren Tag zu lernen!

Glückliche Codierung!