Comment installer Zeek / Bro

Zeek, précédemment connu sous le nom de Bro, est un moniteur de sécurité réseau (NSM) pour Linux. En fait, Zeek surveille passivement le trafic réseau. La meilleure partie de Zeek est qu'elle est open-source et donc complètement libre. De plus amples informations sur Zeek peuvent être trouvées sur https: // docs.zeek.org / en / lts /.HTML # What-Is-Zeek. Dans ce tutoriel, nous passerons en revue Zeek pour Ubuntu.

Dépendances requises

Avant de pouvoir installer Zeek, vous devez vous assurer que les éléments suivants sont installés:

1. Libpcap (http: // www.tcpdump.org)
2. OpenSSL Libraries (https: // www.OpenSSL.org)
3. Bibliothèque Bind8
4. Libz
5. Bash (pour ZeekControl)
6. Python 3.5 ou plus (https: // www.python.org /)

Pour installer les dépendances requises, saisissez ce qui suit:

sudo apt-get install cmake make gcc g ++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev

Ensuite, conformément aux instructions sur leur site Web, il existe de nombreuses façons d'obtenir le package zeek: https: // docs.zeek.org / en / lts / installer.html # id2. De plus, selon le système d'exploitation sur lequel vous êtes, vous pouvez suivre les instructions. Cependant, sur Ubuntu 20.04, j'ai fait ce qui suit:

1. Aller à https: // vieux.zeek.org / téléchargement / packages.html. Trouvez «Packages pour la dernière version de version LTS ici» en bas de la page, puis cliquez dessus.

2. Il devrait vous emmener chez https: // logiciel.ouverte.org // télécharger.html?Projet = sécurité% 3AZEEK & Package = Zeek-LTS. Il y a un choix de système d'exploitation pour lequel Zeek est disponible. Ici, j'ai cliqué sur Ubuntu. Il devrait vous donner deux choix - (i) ajouter le référentiel et installer manuellement, ou (ii) saisir directement les packages binaires. Il est très, très important que vous vous en teniez à votre version du système d'exploitation! Si vous avez Ubuntu 20.04 et utilisez le code fourni pour Ubuntu 20.10, ça ne fonctionnera pas! Depuis que j'ai Ubuntu 20.04, j'écrirai le code que j'ai utilisé:

echo 'deb http: // télécharger.ouverte.org / référentiels / sécurité: / zeek / xubuntu_20.04 / / '| TEE SUDO / ETC / APT / SOURCES.liste.D / Sécurité: Zeek.liste
curl -fssl https: // télécharger.ouverte.org / référentiels / sécurité: zeek / xubuntu_20.04 / libération.clé | GPG --Dearmor | Sudo Tee / etc / Apt / Trust.GPG.d / security_zeek.gpg> / dev / null
Mise à jour Sudo Apt
sudo apt installer zeek-lts

Attention, l'installation elle-même prendra de la place et beaucoup de temps!

Ici, il existe également un moyen plus simple de l'installer à partir de GitHub:

Git Clone - Recursif https: // github.com / zeek / zeek
./ Configurer
faire
faire l'installation

Dans ce cas, assurez-vous que toutes les pré-requis sont à jour! Si un seul pré-requis n'est pas installé dans sa dernière version, alors vous aurez un moment horrible avec cela. Et faire l'un ou l'autre, pas les deux.

3. Ce dernier doit s'installer Zeek sur votre système!

4. Maintenant cd dans le zeek dossier situé à / opt / zeek / bin.

CD / Opt / Zeek / Bin

5. Ici, vous pouvez taper ce qui suit pour obtenir de l'aide:

./ Zeek -h

Avec la commande d'aide, vous devriez pouvoir voir toutes sortes d'informations sur la façon d'utiliser Zeek! Le manuel lui-même est assez long!

6. Ensuite, accédez à / opt / zeek / etc, et modifier le nœud.Fichier CFG. Dans le nœud.Fichier CFG, modifiez l'interface. Utiliser ifconfig Pour savoir quelle est votre interface, puis remplacez simplement cela après le signe égal dans le nœud.Fichier CFG. Dans mon cas, l'interface était ENP0S3, donc j'ai réglé l'interface = ENP0S3.

Il serait sage de configurer également le réseaux.Fichier CFG (/ opt / zeek / etc). Dans le réseaux.Fichier CFG, Choisissez les adresses IP que vous souhaitez surveiller. Mettez un hashtag à côté de ceux que vous aimeriez omettre.

7. Nous devons définir le chemin en utilisant:

echo "Export Path = $ path: / opt / zeek / bin" >> ~ /.bashrc
source ~ /.bashrc

8. Ensuite, tapez ZeekControl et l'installez:

ZeekCtl> Installer

9. Tu peux commencer zeek Utilisation de la commande suivante:

Zeekctl> Démarrer

Vous pouvez vérifier le statut en utilisant:

ZeekCtl> Statut

Et tu peux arrêter zeek en utilisant:

ZeekCtl> Arrêtez

Vous pouvez sortir par dactylographie:

Zeekctl>

dix. Une fois zeek a été arrêté, les fichiers journaux sont créés dans / Opt / Zeek / Logs / Current.

Dans le avis.enregistrer, Zeek mettra ces choses qu'il considère étranges, potentiellement dangereuses ou tout à fait mauvaises. Ce fichier mérite vraiment d'être noté car c'est le fichier où le matériel digne d'inspection est placé!.

Dans le bizarre.enregistrer, Zeek mettra toutes les connexions mal formées, le matériel / service malfonctionnement / mal configuré, ou même un pirate essayant de confondre le système. De toute façon, c'est, au niveau du protocole, bizarre.

Donc même si vous ignorez le bizarre.Journal, il est suggéré de ne pas le faire avec l'avis.enregistrer. La notice.Le journal est similaire à une alerte du système de détection d'intrusion. De plus amples informations sur les différents journaux créées peuvent être trouvées sur https: // docs.zeek.org / en / maître / logs / index.html.

Par défaut, Contrôle du zeek prend les journaux qu'il crée, les comprime et les archives par date. C'est fait toutes les heures. Vous pouvez modifier le taux auquel il se fait via LogrotationInterval, qui est situé dans / opt / zeek / etc / zeekctl.CFG.

11. Par défaut, tous les journaux sont créés dans un format TSV. Maintenant, nous allons transformer les journaux en format JSON. Pour ça, arrêter le zeek.

Dans / opt / zeek / share / zeek / site / local.zeek, Ajouter ce qui suit:

#Output sur JSON
@load Policy / Tuning / JSON-logs

12. De plus, vous pouvez écrire des scripts pour détecter vous-même une activité malveillante. Les scripts sont utilisés pour étendre les fonctionnalités du zeek. Cela permet à l'administrateur d'analyser les événements de réseau. Des informations et une méthodologie approfondies peuvent être trouvées sur https: // docs.zeek.org / en / maître / script / bases.html # compréhension-scripts.

13. À ce stade, vous pouvez utiliser un SIEM (Informations sur la sécurité et gestion des événements) Pour analyser les données collectées. En particulier, la plupart des SIEM que j'ai rencontrés utilisent le format de fichier JSON et non TSV (qui est les fichiers journaux par défaut). En fait, les journaux produits sont excellents, mais les visualiser et les analyser est une douleur! C'est là que Siems entre en scène. SIEMS peut analyser les données en temps réel. De plus, il existe de nombreux SIEM disponibles sur le marché, certains sont chers et certains sont open source. Le celui que vous choisissez est complètement à vous, mais un tel siem open source que vous voudrez peut-être considérer est la pile élastique. Mais c'est une leçon pour un autre jour.

Voilà quelque échantillon de siems:

• Ossim
• Ossec
• Sagan
• Splunk libre
• RENIFLER
• Elasticsearch
• Mozdef
• Pile de wapitis
• Wazuh
• Apache Metron

Et beaucoup, beaucoup plus!

Zeek, également connu sous le nom de Bro, n'est pas un système de détection d'intrusion mais plutôt un moniteur de trafic réseau passif. En fait, il n'est pas classé non comme un système de détection d'intrusion mais plutôt un moniteur de sécurité du réseau (NSM). Quoi qu'il en soit, il détecte une activité suspecte et malveillante sur les réseaux. Dans ce tutoriel, nous avons appris comment installer, configurer et faire fonctionner Zeek. Aussi grand que Zeek est à collecter et à présenter des données, il s'agit néanmoins d'une grande quantité de données pour passer au crible. C'est là que Siems est utile; Les SIEM sont utilisés pour visualiser et analyser les données en temps réel. Cependant, nous allons économiser le plaisir d'apprendre les siems pour un autre jour!

Codage heureux!