Cómo instalar Zeek/Bro

Zeek, anteriormente conocido como Bro, es un monitor de seguridad de red (NSM) para Linux. De hecho, Zeek monitorea pasivamente el tráfico de la red. La mejor parte de Zeek es que es de código abierto y, por lo tanto, completamente gratis. Puede encontrar más información sobre Zeek en https: // documentos.cañonero.org/en/lts/sobre.html#what-is-zeek. En este tutorial, revisaremos Zeek para Ubuntu.

Dependencias requeridas

Antes de que pueda instalar Zeek, debe asegurarse de que se instale lo siguiente:

1. Libpcap (http: // www.tcpdump.org)
2. Bibliotecas OpenSSL (https: // www.openssl.org)
3. Biblioteca bind8
4. Libz
5. Bash (para ZeekControl)
6. Python 3.5 o más (https: // www.pitón.org/)

Para instalar las dependencias requeridas, escriba lo siguiente:

sudo apt-get install cmake haz gcc g ++ flex bison libpcap-dev LBSSL-dev Python3 Python3-Dev Swig Zlib1g-Dev

A continuación, según las instrucciones en su sitio web, hay muchas formas de obtener el paquete Zeek: https: // documentos.cañonero.org/en/lts/instalar.html#id2. Además, dependiendo del sistema operativo en el que se encuentre, puede seguir las instrucciones. Sin embargo, en Ubuntu 20.04, hice lo siguiente:

1. Ir a https: // viejo.cañonero.org/descargar/paquetes.html. Encuentre "Paquetes para la última construcción de lanzamiento de LTS aquí" en la parte inferior de la página y haga clic en ella.

2. Debería llevarlo a https: // software.usura de apertura.org // descargar.html?Proyecto = Security%3azeek y paquete = Zeek-LTS. Hay una opción de sistema operativo para el cual Cañonero está disponible. Aquí, hice clic en Ubuntu. Debe darle dos opciones: (i) Agregue el repositorio e instale manualmente, o (ii) obtenga paquetes binarios directamente. Es muy, muy importante que te quedes con tu versión del sistema operativo! Si tienes Ubuntu 20.04 y use el código proporcionado para Ubuntu 20.10, no funcionará! Desde que tengo Ubuntu 20.04, escribiré el código que usé:

echo 'Deb http: // Descargar.usura de apertura.org/repositorios/seguridad:/zeek/xubuntu_20.04 / / '| Sudo Tee/etc/apt/fuentes.lista.D/Seguridad: Zeek.lista
curl -fssl https: // descargar.usura de apertura.org/repositorios/seguridad: zeek/xubuntu_20.04/Liberación.clave | GPG -DEARMOR | sudo tee/etc/apt/confianza.gpg.D/Security_Zeek.gpg> /dev /null
Actualización de sudo apto
sudo apt install zeek-lts

Eso sí, la instalación en sí tomará algo de espacio y mucho tiempo!

Aquí, también hay una forma más simple de instalarlo desde GitHub:

clon Git -https recursivo: // github.com/zeek/zeek
./Configurar
hacer
hacer instalar

En este caso, asegúrese de que todos los requisitos están actualizados! Si no se instala un solo requisito previo en su última versión, entonces tendrá un momento horrible con esto. Y hacer uno u otro, no ambos.

3. Este último debe instalar Cañonero en tu sistema!

4. Ahora CD en el cañonero carpeta ubicada en /opt/zeek/bin.

CD/Opt/Zeek/Bin

5. Aquí puede escribir lo siguiente para obtener ayuda:

./Zeek -H

Con el comando de ayuda, debería poder ver todo tipo de información sobre cómo usar Zeek! El manual en sí es bastante largo!

6. A continuación, navegue a /opt/zeek/etc, y modificar el nodo.archivo cfg. En el nodo.archivo cfg, modificar la interfaz. Usar ifconfig Para averiguar cuál es su interfaz y luego simplemente reemplácela después del signo igual en el nodo.archivo cfg. En mi caso, la interfaz fue ENP0S3, por lo que configuré la interfaz = ENP0S3.

Sería prudente configurar también el redes.archivo cfg (/opt/zeek/etc). En el redes.archivo cfg, Elija las direcciones IP que desea monitorear. Pon un hashtag al lado de los que te gustaría omitir.

7. Tenemos que configurar el camino usando:

echo "ruta de exportación = $ ruta:/opt/zeek/bin" >> ~/.bashrc
fuente ~/.bashrc

8. A continuación, escriba Zorra e instálelo:

Zeekctl> Instalar

9. Tu puedes empezar cañonero Usando el siguiente comando:

Zeekctl> Inicio

Puedes verificar el estado usando:

Zeekctl> Estado

Y puedes parar cañonero usando:

Zeekctl> parar

Puedes salir de mecanografía:

Zeekctl> Salir

10. Una vez cañonero se ha detenido, los archivos de registro se crean en /opt/zeek/logs/actual.

En el aviso.registro, Zeek pondrá esas cosas que considera extrañas, potencialmente peligrosas o totalmente malas. Definitivamente, vale la pena señalar este archivo porque este es el archivo donde se coloca el material digna de la inspección!.

En el extraño.registro, Zeek pondrá conexiones malformadas, mal funcionamiento/hardware/servicio mal configurado, o incluso un hacker tratando de confundir el sistema. De cualquier manera, es, a nivel de protocolo, raro.

Entonces, incluso si ignoras el raro.Registro, se sugiere que no lo haga con el aviso.registro. La noticia.El registro es similar a una alerta del sistema de detección de intrusos. Se puede encontrar más información sobre los diversos registros creados en https: // docs.cañonero.org/en/master/logs/índice.html.

Por defecto, Control de Zeek toma los registros que crea, los comprime y los archiva por fecha. Esto se hace cada hora. Puede cambiar la tasa a la que se realiza a través de Logrotationinterval, que se encuentra en /opt/zeek/etc/zeekctl.CFG.

11. Por defecto, todos los registros se crean en un formato TSV. Ahora vamos a convertir los registros en formato JSON. Para eso, Stop Zeek.

En /opt/zeek/share/zeek/sitio/local.cañonero, Agregue lo siguiente:

#Output a JSON
@Load Política/Tuning/JSON-Logs

12. Además, puede escribir scripts para detectar actividad maliciosa usted mismo. Los scripts se utilizan para extender la funcionalidad de Zeek. Esto permite al administrador analizar eventos de red. La información y la metodología en profundidad se pueden encontrar en https: // docs.cañonero.org/en/master/scripting/conceptos básicos.html#-scripts-scripts.

13. En este punto, puedes usar un SIEM (Información de seguridad y gestión de eventos) para analizar los datos recopilados. En particular, la mayoría de los SIEM que he encontrado usan el formato de archivo JSON y no TSV (que son los archivos de registro predeterminados). De hecho, los registros producidos son geniales, pero visualizarlos y analizarlos es un dolor! Aquí es donde los Siems entran en escena. SIEMS puede analizar datos en tiempo real. Además, hay muchos SIEM disponibles en el mercado, algunos son caros y algunos son de código abierto. Cuál es el que elige por completo, pero uno de esos equipos de código abierto que puede considerar es la pila elástica. Pero esa es una lección para otro día.

Aquí están algunas Muestra de Siems:

• Ossim
• Ossec
• Sagan
• Splunk Free
• BUFIDO
• Elasticsearch
• Mozdef
• Pila
• Wazuh
• Apache metron

Y muchos muchos mas!

Cañonero, También conocido como Bro, no es un sistema de detección de intrusos, sino un monitor de tráfico de red pasivo. De hecho, se clasifica no como un sistema de detección de intrusos, sino como un monitor de seguridad de red (NSM). De cualquier manera, detecta actividades sospechosas y maliciosas en las redes. En este tutorial, aprendimos cómo instalar, configurar y poner a Zeek en funcionamiento. Tan grande como Zeek es recopilar y presentar datos, es una gran cantidad de datos para examinar. Aquí es donde los Siems son útiles; Los SIEM se utilizan para visualizar y analizar datos en tiempo real. Sin embargo, ahorraremos el placer de aprender sobre SIEM para otro día!

Codificación feliz!