Jak zainstalować Zeek/Bro

Zeek, wcześniej znany jako BRO, jest monitorem bezpieczeństwa sieci (NSM) dla Linux. W rzeczywistości Zeek pasywnie monitoruje ruch sieciowy. Najlepsze w Zeek jest to, że jest otwartym źródłem, a zatem całkowicie wolny. Dalsze informacje o Zeek można znaleźć na stronie https: //.Zeek.org/en/lts/około.html#co-is-zeek. W tym samouczku sprawdzimy Zeek dla Ubuntu.

Wymagane zależności

Zanim będziesz mógł zainstalować Zeek, musisz upewnić się, że zainstalowane są następujące:

1. Libpcap (http: // www.TCPDUMP.org)
2. Biblioteki openssl (https: // www.Openssl.org)
3. Biblioteka Bind8
4. Libz
5. Bash (dla ZeekControl)
6. Python 3.5 lub więcej (https: // www.pyton.org/)

Aby zainstalować wymagane zależności, wpisz następujące:

sudo apt-get instaluj cmake Make gcc g ++ flex Bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev

Następnie, zgodnie z instrukcją na ich stronie internetowej, istnieje wiele sposobów na uzyskanie pakietu Zeek: https: // Docs.Zeek.org/en/lts/instaluj.HTML#ID2. Ponadto, w zależności od systemu operacyjnego, możesz postępować zgodnie z instrukcjami. Jednak na Ubuntu 20.04, zrobiłem następujące czynności:

1. Przejdź do https: // stary.Zeek.org/pobieranie/pakiety.html. Znajdź „Pakiety najnowszej wersji LTS kompilacji tutaj” na dole strony i kliknij na nią.

2. Powinno to zabrać do oprogramowania https: //.OpenSuse.Org // Pobierz.html?projekt = bezpieczeństwo%3azeek & pakiet = Zeek-lts. Istnieje wybór systemu operacyjnego Zeek jest dostępny. Tutaj kliknąłem Ubuntu. Powinien dać ci dwie możliwości - (i) Dodaj repozytorium i zainstaluj ręcznie lub (ii) chwyć pakiety binarne bezpośrednio. Bardzo, bardzo ważne, abyś trzymał się swojej wersji systemu operacyjnego! Jeśli masz Ubuntu 20.04 i użyj kodu przewidzianego dla Ubuntu 20.10, to nie zadziała! Ponieważ mam Ubuntu 20.04, napiszę kod, którego użyłem:

echo 'de http: // pobierz.OpenSuse.org/repozytoria/bezpieczeństwo:/Zeek/xubuntu_20.04 / / '| sudo tee/itp./apt/źródła.lista.D/Security: Zeek.lista
curl -fssl https: // pobierz.OpenSuse.org/repozytoria/bezpieczeństwo: Zeek/Xubuntu_20.04/wydanie.Klucz | GPG - -dearmor | sudo tee/etc/apt/trusted.GPG.D/Security_zeek.GPG> /dev /null
Aktualizacja sudo apt
sudo apt instaluj zeek-lts

Pamiętaj, że sama instalacja zajmie trochę miejsca i dużo czasu!

Tutaj istnieje również prostszy sposób zainstalowania go z GitHub:

GIT Clone -rekusyjny https: // github.Com/Zeek/Zeek
./skonfiguruj
robić
Zrób instalację

W takim przypadku upewnij się, że wszystkie warunki wstępne są aktualne! Jeśli pojedynczy warunek wstępny nie zostanie zainstalowany w najnowszej wersji, będziesz miał z tym okropny czas. I rób jedno lub drugie, a nie oba.

3. Ten ostatni powinien zainstalować Zeek na twój system!

4. Teraz płyta CD w Zeek folder znajdujący się przy /Opt/Zeek/Bin.

CD/Opt/Zeek/Bin

5. Tutaj możesz wpisać pomoc w celu uzyskania pomocy:

./Zeek -h

Za pomocą polecenia pomocy powinieneś być w stanie zobaczyć wszelkiego rodzaju informacje o tym, jak korzystać z Zeek! Sama instrukcja jest dość długa!

6. Następnie przejdź do /Opt/Zeek/itd, i zmodyfikuj węzeł.plik CFG. W węźle.plik CFG, zmodyfikuj interfejs. Używać ifconfig Aby dowiedzieć się, jaki jest twój interfejs, a następnie po prostu zastąp to po równym znaku w węzeł.plik CFG. W moim przypadku interfejs był ENP0S3, więc ustawiłem interfejs = ENP0S3.

Rozsądnie byłoby również skonfigurować Sieci.plik CFG (/opt/zeek/etc). w Sieci.plik CFG, Wybierz adresy IP, które chcesz monitorować. Umieść hashtag obok tych, które chciałbyś pominąć.

7. Musimy ustawić ścieżka za pomocą:

echo "eksport ścieżka = $ ścieżka:/opt/zeek/bin" >> ~/.Bashrc
Źródło ~/.Bashrc

8. Następnie wpisz ZeekControl i zainstaluj to:

ZeekCtl> Instaluj

9. Możesz zaczynać Zeek Korzystanie z następującego polecenia:

Zeekctl> Start

Możesz sprawdzić status za pomocą:

Zeekctl> Status

I możesz przestać Zeek za pomocą:

Zeekctl> Stop

Możesz wyjść w obok pisanie na maszynie:

Zeekctl> Exit

10. Raz Zeek został zatrzymany, pliki dziennika są tworzone w /opt/zeek/logs/prąd.

w ogłoszenie.dziennik, Zeek umieści te rzeczy, które uważa za dziwne, potencjalnie niebezpieczne lub całkowicie złe. Zdecydowanie warto zwrócić uwagę na ten plik, ponieważ jest to plik, w którym umieszczany jest materiał kontrolny!.

w dziwny.dziennik, Zeek umieści wszelkie zniekształcone połączenia, nieprawidłowe działanie/błędnie skonfigurowane sprzęt/usługa, a nawet hakera, który próbuje pomylić system. Tak czy inaczej, na poziomie protokołu dziwnego.

Więc nawet jeśli zignorujesz dziwne.log, sugeruje się, że nie robisz tego z powiadomieniem.dziennik. Zawiadomienie.Log jest podobny do ostrzeżenia systemu wykrywania włamań. Więcej informacji o różnych wytworzonych dziennikach można znaleźć na stronie https: //.Zeek.org/en/master/logs/indeks.html.

Domyślnie, Kontrola Zeek przyjmuje dzienniki, które tworzy, kompresuje je i archiwizuje według daty. Odbywa się to co godzinę. Możesz zmienić szybkość, z jaką jest to wykonane przez LogrotationInterval, który znajduje się w /opt/zeek/etc/zeekctl.CFG.

11. Domyślnie wszystkie dzienniki są tworzone w formacie TSV. Teraz zamienimy dzienniki w format JSON. Za to, Zatrzymaj Zeek.

W /opt/zeek/share/zeek/strona/lokalna.Zeek, Dodaj następujące czynności:

#Output to JSON
@Load Policy/Tuning/Json-Logs

12. Ponadto możesz napisać skrypty, aby samodzielnie wykryć złośliwą aktywność. Skrypty służą do rozszerzenia funkcjonalności Zeek. To pozwala administratorowi analizować zdarzenia sieciowe. Dogłębne informacje i metodologię można znaleźć na stronie https: //.Zeek.org/en/master/scenariusz/podstawy.html#Understanding-Scricts.

13. W tym momencie możesz użyć SIEM (Informacje o bezpieczeństwie i zarządzanie wydarzeniami) Aby przeanalizować zebrane dane. W szczególności większość siem, na które natknąłem się na format plików JSON, a nie TSV (czyli domyślne pliki dziennika). W rzeczywistości wyprodukowane kłody są świetne, ale ich wizualizowanie i analizowanie ich to ból! Tutaj pojawiają się SIEMS. SIEMS może analizować dane w czasie rzeczywistym. Ponadto na rynku dostępnych jest wiele siem, niektóre są drogie, a niektóre są open source. Który wybierasz, zależy od Ciebie, ale jednym z takich open source, które możesz wziąć pod uwagę, jest elastyczny stos. Ale to lekcja na kolejny dzień.

Oto niektóre Przykładowy siem:

• Ossim
• Ossec
• Sagan
• Splunk Free
• PARSKNIĘCIE
• ElasticSearch
• Mozdef
• Stos łosia
• Wazuh
• Apache Metron

I wiele, wiele innych!

Zeek, Znany również jako BRO, nie jest systemem wykrywania włamań, ale raczej pasywny monitor ruchu sieciowego. W rzeczywistości nie jest sklasyfikowany jako system wykrywania włamań, ale raczej monitor bezpieczeństwa sieci (NSM). Tak czy inaczej, wykrywa podejrzane i złośliwe aktywność w sieciach. W tym samouczku dowiedzieliśmy się, jak instalować, konfigurować i uruchomić Zeek. Choć Zeek jest w gromadzeniu i prezentacji danych, jest to jednak duża ilość danych do przesiewania. Tutaj przydaje się Siem; SIEMS są wykorzystywane do wizualizacji i analizy danych w czasie rzeczywistym. Jednak zaoszczędzimy przyjemność uczenia się o Siem na kolejny dzień!

Szczęśliwe kodowanie!