Come installare zeek/bro

Zeek, precedentemente noto come BRO, è un Monitor di sicurezza di rete (NSM) per Linux. In effetti, Zeek monitora passivamente il traffico di rete. La parte migliore di Zeek è che è open-source e quindi completamente gratuito. Ulteriori informazioni su Zeek sono disponibili su https: // docs.Zeek.org/en/lts/circa.html#what-is-zeek. In questo tutorial, esamineremo Zeek per Ubuntu.

Dipendenze richieste

Prima di poter installare Zeek, è necessario assicurarsi che siano installati quanto segue:

1. Libpcap (http: // www.tcpdump.org)
2. Libraries OpenSSL (https: // www.OpenSSL.org)
3. Libreria Bind8
4. Libz
5. Bash (per zeekcontrol)
6. Python 3.5 o più (https: // www.pitone.org/)

Per installare le dipendenze richieste, digitare quanto segue:

sudo apt-get installa cmake make gcc g ++ flex bisonti libpcap-dev libsssl-dev python3 python3-dev swig zlib1g-dev

Successivamente, secondo le istruzioni sul loro sito Web, ci sono molti modi per ottenere il pacchetto Zeek: https: // docs.Zeek.org/en/lts/installazione.HTML#ID2. Inoltre, a seconda del sistema operativo in cui ti trovi, puoi seguire le istruzioni. Tuttavia, su Ubuntu 20.04, ho fatto quanto segue:

1. Vai a https: // vecchio.Zeek.org/download/pacchetti.html. Trova "Pacchetti per l'ultima build di rilascio LTS qui" nella parte inferiore della pagina e fai clic su di essa.

2. Dovrebbe portarti a https: // software.Opensuse.download org //.html?Progetto = sicurezza%3azeek & pacchetto = zeek-lts. C'è una scelta di sistema operativo per il quale Zeek è disponibile. Qui, ho fatto clic su Ubuntu. Dovrebbe darti due scelte: (i) Aggiungi il repository e installa manualmente o (ii) afferrare i pacchetti binari direttamente. È molto, molto importante attenersi alla versione del tuo sistema operativo! Se hai Ubuntu 20.04 e usa il codice fornito per Ubuntu 20.10, non funzionerà! Da quando ho Ubuntu 20.04, scriverò il codice che ho usato:

echo 'deb http: // download.Opensuse.org/repository/sicurezza:/zeek/xubuntu_20.04 / / '| sudo tee/etc/apt/fonti.elenco.D/Sicurezza: Zeek.elenco
Curl -fssl https: // download.Opensuse.org/repository/sicurezza: zeek/xubuntu_20.04/rilascio.chiave | GPG - -DEARMOR | sudo tee/etc/apt/fidato.gpg.d/security_zeek.gpg> /dev /null
Sudo Apt Aggiornamento
SUDO APT Installa Zeek-Lts

Intendiamoci, l'installazione stessa impiegherà un po 'di spazio e molto tempo!

Qui, c'è anche un modo più semplice di installarlo da GitHub:

Git Clone -Https -recursivo: // github.com/zeek/zeek
./configura
Fare
Installa l'installazione

In questo caso, assicurarsi che tutti i prerequisiti siano aggiornati! Se un singolo prerequisito non è installato nella sua ultima versione, allora avrai un momento orribile con questo. E fai l'uno o l'altro, non entrambi.

3. Quest'ultimo dovrebbe installare Zeek sul tuo sistema!

4. Ora cd nel Zeek cartella situata a /opt/zeek/bin.

cd/opt/zeek/bin

5. Qui puoi digitare quanto segue per aiuto:

./zeek -h

Con il comando Help, dovresti essere in grado di vedere ogni sorta di informazioni su come usare Zeek! Il manuale stesso è piuttosto lungo!

6. Successivamente, navigare a /opt/zeek/ecc, e modificare il nodo.File CFG. Nel nodo.file cfg, modifica l'interfaccia. Utilizzo ifconfig Per scoprire qual è la tua interfaccia, e quindi sostituirlo dopo il segno uguale nel nodo.File CFG. Nel mio caso, l'interfaccia era enp0s3, quindi ho impostato l'interfaccia = enp0s3.

Sarebbe saggio anche configurare il reti.file cfg (/opt/zeek/ecc). Nel reti.File CFG, Scegli gli indirizzi IP che si desidera monitorare. Metti un hashtag accanto a quelli che vorresti omettere.

7. Dobbiamo impostare il sentiero Usando:

Echo "Export Path = $ Path:/opt/zeek/bin" >> ~/.Bashrc
Fonte ~/.Bashrc

8. Successivamente, tipo ZeekControl e installalo:

Zeekctl> installa

9. Puoi iniziare Zeek usando il seguente comando:

Zeekctl> inizia

Puoi controllare il stato Usando:

Zeekctl> status

E puoi fermarti Zeek Usando:

Zeekctl> fermati

Puoi uscire entro digitando:

Zeekctl> uscita

10. Una volta Zeek è stato fermato, i file di registro vengono creati in /opt/zeek/logs/corrente.

Nel avviso.tronco d'albero, Zeek metterà quelle cose che considerano strane, potenzialmente pericolose o del tutto male. Questo file vale sicuramente la pena notare perché questo è il file in cui viene inserito il materiale degno di un'ispezione!.

Nel Strano.tronco d'albero, Zeek metterà qualsiasi connessione malformata, hardware/servizio malfunzionamento/configurato male, o persino un hacker che cerca di confondere il sistema. Ad ogni modo, è, a livello di protocollo, strano.

Quindi anche se ignori lo strano.registro, si suggerisce di non farlo con l'avviso.tronco d'albero. L'avviso.Il registro è simile all'avviso del sistema di rilevamento delle intrusioni. Ulteriori informazioni sui vari registri creati sono disponibili su https: // documenti.Zeek.org/en/master/logs/indice.html.

Per impostazione predefinita, Controllo Zeek prende i registri che crea, li comprime e li archivia per data. Questo viene fatto ogni ora. Puoi modificare la velocità con cui è fatto tramite LogrotationInterval, che si trova in /opt/zeek/etc/zeekctl.cfg.

11. Per impostazione predefinita, tutti i registri vengono creati in formato TSV. Ora trasformeremo i registri in formato JSON. Per quello, Stop Zeek.

In /opt/zeek/share/zeek/sito/locale.Zeek, Aggiungi quanto segue:

#Output a JSON
@Load Policy/Tuning/JSON-LOGS

12. Inoltre, puoi scrivere script per rilevare te stesso attività dannosa. Gli script vengono utilizzati per estendere la funzionalità di Zeek. Ciò consente all'amministratore di analizzare gli eventi di rete. Informazioni e metodologie approfondite sono disponibili su https: // docs.Zeek.org/en/master/scripting/basi.HTML#comprensione.

13. A questo punto, puoi usare un file SIEM (Informazioni sulla sicurezza e gestione degli eventi) Per analizzare i dati raccolti. In particolare, la maggior parte dei SIEM che ho incontrato utilizza il formato di file JSON e non TSV (che è i file di registro predefiniti). In effetti, i registri prodotti sono fantastici, ma visualizzarli e analizzarli è un dolore! Qui è dove i Siem entrano in scena. I SIEM possono analizzare i dati in tempo reale. Inoltre, ci sono molti SIEM disponibili sul mercato, alcuni sono costosi e alcuni sono open source. Quale che scegli dipende completamente da te, ma uno di questi Siem open source che potresti considerare è Elastic Stack. Ma questa è una lezione per un altro giorno.

Eccotene alcune campione siems:

• Ossim
• OSSEC
• Sagan
• Splunk libero
• Sbuffo
• Elasticsearch
• Mozdef
• Elk Stack
• Wazuh
• Apache Metron

E molti, molti altri!

Zeek, noto anche come fr, non è un sistema di rilevamento delle intrusioni ma piuttosto un monitor del traffico di rete passivo. In effetti, è classificato non come un sistema di rilevamento delle intrusioni ma piuttosto un monitor di sicurezza della rete (NSM). Ad ogni modo, rileva attività sospette e dannose sulle reti. In questo tutorial, abbiamo appreso come installare, configurare e far funzionare Zeek. Per quanto Zeek sia a raccogliere e presentare dati, è comunque una grande quantità di dati da setacciare. È qui che i Siem sono utili; I SIEM sono usati per visualizzare e analizzare i dati in tempo reale. Tuttavia, salveremo il piacere di conoscere Siems per un altro giorno!

Codice felice!