Hvordan installere Zeek/Bro

Zeek, tidligere kjent som Bro, er en nettverkssikkerhetsmonitor (NSM) for Linux. Faktisk overvåker Zeek passivt nettverkstrafikk. Det beste med Zeek er at den er åpen kildekode og dermed helt gratis. Mer informasjon om Zeek finner du på https: // dokumenter.Zeek.org/en/lts/om.HTML#hva-er-zeek. I denne opplæringen vil vi gjennomgå Zeek for Ubuntu.

Nødvendige avhengigheter

Før du kan installere Zeek, må du sørge for at følgende er installert:

1. Libpcap (http: // www.tcpdump.org)
2. OpenSSL -biblioteker (https: // www.OpenSSL.org)
3. Bind8 -bibliotek
4. Libz
5. Bash (for ZeekControl)
6. Python 3.5 eller høyere (https: // www.Python.org/)

For å installere de nødvendige avhengighetene, skriv inn følgende:

sudo apt-get install cmake make gcc g ++ flex bison libpcap-dev libsl-dev python3 python3-dev swig zlib1g-dev

Neste, i henhold til instruksjonen på deres hjemmeside, er det mange måter å skaffe Zeek -pakken: https: // docs.Zeek.org/no/lts/installer.HTML#ID2. Avhengig av operativsystemet du er på, kan du følge instruksjonene. Imidlertid på Ubuntu 20.04, jeg gjorde følgende:

1. Gå til https: // gammel.Zeek.org/last ned/pakker.html. Finn “Pakker for den nyeste LTS -utgivelsesbyggingen her” nederst på siden, og klikk på den.

2. Det skal ta deg til https: // programvare.OpenSUSE.org // last ned.html?Project = Sikkerhet%3Azeek & Package = Zeek-LTS. Det er et valg av operativsystem som Zeek er tilgjengelig. Her klikket jeg på Ubuntu. Det skal gi deg to valg - (i) Legg til depotet og installer manuelt, eller (ii) ta binære pakker direkte. Det er veldig, veldig viktig at du holder deg til OS -versjonen din! Hvis du har Ubuntu 20.04 og bruk koden som er gitt for Ubuntu 20.10, det vil ikke fungere! Siden jeg har Ubuntu 20.04, jeg vil skrive ut koden jeg brukte:

ekko 'Deb http: // Last ned.OpenSUSE.org/depoter/sikkerhet:/zeek/xubuntu_20.04 / / '| sudo tee/etc/apt/kilder.liste.D/Sikkerhet: Zeek.liste
Curl -fssl https: // Last ned.OpenSUSE.org/depoter/sikkerhet: zeek/xubuntu_20.04/Utgivelse.Nøkkel | GPG -DEARMOR | sudo tee/etc/apt/pålitelig.GPG.d/security_zeek.gpg> /dev /null
sudo apt oppdatering
sudo apt installer zeek-lts

Husk at installasjonen i seg selv vil ta litt plass og mye tid!

Her er det en enklere måte å installere den fra GitHub også:

git klon -rekursiv https: // github.com/zeek/zeek
./konfigurere
gjøre
lage installasjon

I dette tilfellet må du sørge for at alle forutsetningene er oppdatert! Hvis en enkelt forutsetning ikke er installert i sin nyeste versjon, har du en fryktelig tid med dette. Og gjør det ene eller det andre, ikke begge deler.

3. Sistnevnte skal installere Zeek på systemet ditt!

4. Nå CD inn i Zeek mappe som ligger på /opt/zeek/bin.

CD/opt/zeek/bin

5. Her kan du skrive inn følgende for hjelp:

./zeek -h

Med hjelpekommandoen skal du kunne se all slags informasjon om hvordan du bruker Zeek! Manualen i seg selv er ganske lang!

6. Naviger deretter til /opt/zeek/etc, og endre Node.CFG -fil. I noden.CFG -fil, modifiser grensesnittet. Bruk ifconfig For å finne ut hva grensesnittet ditt er, og bare erstatte det etter det like store tegnet i Node.CFG -fil. I mitt tilfelle var grensesnittet ENP0S3, så jeg satte grensesnittet = ENP0S3.

Det ville være lurt å også konfigurere nettverk.CFG -fil (/opt/zeek/etc). I nettverk.CFG -fil, Velg IP -adressene du ønsker å overvåke. Sett en hashtag ved siden av de du ønsker å utelate.

7. Vi må sette sti ved hjelp av:

ekko "Eksportbane = $ bane:/opt/zeek/bin" >> ~//.Bashrc
kilde ~/.Bashrc

8. Neste, skriv inn ZeekControl og installer det:

ZeekCTL> Installer

9. Du kan starte Zeek Bruke følgende kommando:

Zeekctl> Start

Du kan sjekke status ved hjelp av:

Zeekctl> Status

Og du kan stoppe Zeek ved hjelp av:

Zeekctl> Stopp

Du kan gå ut av skrive:

Zeekctl> Avslutt

10. En gang Zeek har blitt stoppet, loggfiler opprettes i /opt/zeek/logger/strøm.

I legge merke til.Logg, Zeek vil legge de tingene som den anser som merkelig, potensielt farlig eller helt dårlig. Denne filen er absolutt verdt å merke seg fordi dette er filen der inspeksjonsverdig materiale er plassert!.

I merkelig.Logg, Zeek vil sette eventuelle misdannede forbindelser, funksjonsfeil/feilkonfigurert maskinvare/tjeneste, eller til og med en hacker som prøver å forvirre systemet. Uansett er det på protokollnivå rart.

Så selv om du ignorerer det rare.Logg, det foreslås at du ikke gjør det med varselet.Logg. Varselet.Log ligner på et varsel om inntrengingsdeteksjonssystem. Mer informasjon om de forskjellige logger som er opprettet, finner du på https: // docs.Zeek.org/en/master/logger/indeks.html.

Som standard, Zeek -kontroll Tar loggene det skaper, komprimerer dem og arkiverer dem etter dato. Dette gjøres hver time. Du kan endre hastigheten som det er gjort via LogrotationInterval, som ligger i /opt/zeek/etc/zeekctl.CFG.

11. Som standard opprettes alle logger i et TSV -format. Nå skal vi gjøre loggene til JSON -format. For det, Stopp Zeek.

I /opt/zeek/share/zeek/nettsted/lokalt.Zeek, Legg til følgende:

#Output til JSON
@Load Policy/Tuning/JSON-Logs

12. Videre kan du skrive skript for å oppdage ondsinnet aktivitet selv. Skript brukes til å utvide funksjonaliteten til Zeek. Dette gjør at administratoren kan analysere nettverkshendelser. Dybdeinformasjon og metodikk finner du på https: // docs.Zeek.org/en/master/scripting/grunnleggende.HTML#Forståelsesskrimer.

1. 3. På dette tidspunktet kan du bruke en SIEM (sikkerhetsinformasjon og hendelsesstyring) For å analysere dataene som er samlet inn. Spesielt de fleste siems som jeg har kommet over bruker JSON -filformatet og ikke TSV (som er standardloggfilene). Faktisk er de produserte tømmerstokkene gode, men å visualisere dem og analysere dem er vondt! Det er her siems kommer inn i bildet. Siems kan analysere data i sanntid. Videre er det mange Siems tilgjengelig på markedet, noen er kostbare, og noen er åpen kildekode. Hvilken du velger er helt opp til deg, men en slik open source siem som du kanskje vil vurdere er elastisk stabel. Men det er en leksjon for en annen dag.

Her er det noe prøve siems:

• Ossim
• OSSEC
• Sagan
• Splunk gratis
• Snort
• Elasticsearch
• Mozdef
• Elk Stack
• Wazuh
• Apache Metron

Og mange, mange flere!

Zeek, Også kjent som Bro, er ikke et inntrengingsdeteksjonssystem, men snarere en passiv nettverkstrafikkmonitor. Det er faktisk ikke klassifisert som et inntrengingsdeteksjonssystem, men snarere en nettverkssikkerhetsmonitor (NSM). Uansett oppdager det mistenkelig og ondsinnet aktivitet på nettverk. I denne opplæringen lærte vi om hvordan du installerer, konfigurerer og får Zeek opp og går. Så flott som Zeek er å samle og presentere data, er det likevel en stor mengde data å sile gjennom. Det er her siems kommer godt med; Siems brukes til å visualisere og analysere data i sanntid. Imidlertid vil vi spare gleden av å lære om siems for en annen dag!

Glad koding!