Como instalar o Zeek/Bro

Zeek, anteriormente conhecido como Bro, é um monitor de segurança de rede (NSM) para Linux. De fato, o Zeek monitora passivamente o tráfego da rede. A melhor parte do Zeek é que é de código aberto e, portanto, completamente grátis. Mais informações sobre Zeek podem ser encontradas em https: // docs.Zeek.org/en/lts/sobre.html#o que é-zeek. Neste tutorial, revisaremos o Zeek para o Ubuntu.

Dependências necessárias

Antes de instalar o Zeek, você precisa garantir que o seguinte seja instalado:

1. Libpcap (http: // www.tcpdump.org)
2. Bibliotecas Openssl (https: // www.OpenSSL.org)
3. Biblioteca bind8
4. Libz
5. Bash (para ZeekControl)
6. Python 3.5 ou mais (https: // www.Pitão.org/)

Para instalar as dependências necessárias, digite o seguinte:

Instalação sudo apt-get cmake make gcc g ++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev

Em seguida, de acordo com as instruções em seu site, existem muitas maneiras de obter o pacote Zeek: https: // docs.Zeek.org/en/lts/install.HTML#ID2. Além disso, dependendo do sistema operacional, você pode seguir as instruções. No entanto, no Ubuntu 20.04, eu fiz o seguinte:

1. Vá para https: // antigo.Zeek.org/download/pacotes.html. Encontre “Pacotes para a versão mais recente do LTS aqui” na parte inferior da página e clique nela.

2. Deve levá -lo a https: // software.OpenSuse.org // download.html?Projeto = Segurança%3azek & Package = Zeek-LTS. Há uma escolha de sistema operacional para o qual Zeek está disponível. Aqui, cliquei em Ubuntu. Deve dar duas opções - (i) Adicione o repositório e instale manualmente, ou (ii) pegue pacotes binários diretamente. É muito, muito importante que você cumpra sua versão do sistema operacional! Se você tem Ubuntu 20.04 e use o código fornecido para o Ubuntu 20.10, não funciona! Desde que eu tenho Ubuntu 20.04, vou escrever o código que usei:

Echo 'Deb http: // Download.OpenSuse.org/repositórios/segurança:/zek/xubuntu_20.04 / / '| sudo tee/etc/apt/fontes.lista.D/Segurança: Zeek.lista
CURL -FSSL https: // Download.OpenSuse.org/repositórios/segurança: zek/xubuntu_20.04/liberação.chave | GPG - -DEARMOR | sudo tee/etc/apt/confiável.gpg.D/Security_Zeek.gpg> /dev /null
Atualização do sudo apt
sudo apt install zeek-lts

Lembre -se, a própria instalação terá algum espaço e muito tempo!

Aqui, há uma maneira mais simples de instalá -lo no GitHub também:

Clone Git -Https Recursivo: // Github.com/zeek/zeek
./configure
fazer
faça instalar

Nesse caso, verifique se todos os pré-requisitos estão atualizados! Se um único pré-requisito não estiver instalado em sua versão mais recente, você terá um tempo horrível com isso. E fazer um ou outro, não ambos.

3. O último deve instalar Zeek no seu sistema!

4. Agora CD no Zeek pasta localizada em /opt/zeek/bin.

CD/OPT/ZEEK/BIN

5. Aqui você pode digitar o seguinte para obter ajuda:

./zeek -h

Com o comando de ajuda, você poderá ver todos os tipos de informações sobre como usar o Zeek! O manual em si é bastante longo!

6. Em seguida, navegue para /opt/zeek/etc, e modificar o nó.Arquivo CFG. No nó.Arquivo CFG, modifique a interface. Usar ifconfig Para descobrir qual é a sua interface e apenas substitua isso após o sinal igual nó.Arquivo CFG. No meu caso, a interface era ENP0S3, então eu defino a interface = enp0s3.

Seria aconselhável também configurar o redes.Arquivo CFG (/Opt/Zeek/etc). No redes.Arquivo CFG, Escolha os endereços IP que você deseja monitorar. Coloque uma hashtag ao lado das que você gostaria de omitir.

7. Temos que definir o caminho usando:

eco "Caminho de exportação = $ caminho:/opt/zeek/bin" >> ~///.Bashrc
fonte ~///.Bashrc

8. Em seguida, digite ZeekControl e instale:

Zeekctl> instalação

9. Você pode começar Zeek Usando o seguinte comando:

Zeekctl> Iniciar

Você pode verificar o status usando:

Zeekctl> status

E você pode parar Zeek usando:

Zeekctl> pare

Você pode sair por digitando:

Zeekctl> saída

10. Uma vez Zeek foi parado, os arquivos de log são criados em /opt/zeek/logs/corrente.

No perceber.registro, Zeek colocará as coisas que considera estranhas, potencialmente perigosas ou totalmente ruins. Definitivamente, esse arquivo vale a pena notar, porque este é o arquivo em que o material digno de inspeção é colocado!.

No esquisito.registro, Zeek colocará qualquer conexão malformada, com defeito/hardware/serviço mal configurado, ou mesmo um hacker tentando confundir o sistema. De qualquer maneira, está, no nível do protocolo, estranho.

Então, mesmo se você ignorar o estranho.log, sugere -se que você não o faça com o aviso.registro. A notícia.O log é semelhante a um alerta de sistema de detecção de intrusões. Mais informações sobre os vários logs criados podem ser encontrados em https: // docs.Zeek.org/en/master/logs/index.html.

Por padrão, Controle zeek pega os troncos que cria, os comprime e os arquiva até a data. Isso é feito a cada hora. Você pode alterar a taxa na qual é feito via LogroTationInterval, que está localizado em /opt/zeek/etc/zeekctl.cfg.

11. Por padrão, todos os logs são criados em um formato TSV. Agora vamos transformar os troncos em formato json. Por isso, Pare de Zeek.

Em /opt/zeek/share/zeek/site/local.Zeek, Adicione o seguinte:

#Output para JSON
@load Policy/Tuning/Json-Logs

12. Além disso, você pode escrever scripts para detectar atividades maliciosas. Scripts são usados ​​para estender a funcionalidade do Zeek. Isso permite ao administrador analisar eventos de rede. Informações e metodologia aprofundadas podem ser encontradas em https: // docs.Zeek.org/en/master/script/básico.html#compreensão-scripts.

13. Neste ponto, você pode usar um Siem (Informações de Segurança e Gerenciamento de Eventos) para analisar os dados coletados. Em particular, a maioria dos siems que encontrei use o formato de arquivo JSON e não o TSV (que é os arquivos de log padrão). De fato, os troncos produzidos são ótimos, mas visualizá -los e analisá -los é uma dor! É aqui que os siems entram em cena. Os SIEMs podem analisar dados em tempo real. Além disso, existem muitos Siems disponíveis no mercado, alguns são caros e outros são de código aberto. Qual você escolher é completamente com você, mas um desses de código aberto siem que você pode querer considerar é uma pilha elástica. Mas isso é uma lição para outro dia.

Aqui estão alguns amostra siems:

• Ossim
• OSSEC
• Sagan
• Splunk Free
• Bufo
• Elasticsearch
• Mozdef
• Pilha de alces
• Wazuh
• Apache Metron

E muitos, muitos mais!

Zeek, Também conhecido como irmão, não é um sistema de detecção de intrusão, mas um monitor de tráfego de rede passivo. De fato, é classificado não como um sistema de detecção de intrusão, mas como um monitor de segurança de rede (NSM). De qualquer maneira, detecta atividades suspeitas e maliciosas nas redes. Neste tutorial, aprendemos sobre como instalar, configurar e colocar o Zeek em funcionamento. Tão grande quanto Zeek está na coleta e apresentação de dados, é uma grande quantidade de dados para analisar. É aqui que os Siems são úteis; Siems são usados ​​para visualizar e analisar dados em tempo real. No entanto, salvaremos o prazer de aprender sobre os Siems por outro dia!

Codificação feliz!