Zeek 7.0 LTS é lançado
O Zeek, anteriormente conhecido como Bro, é uma poderosa plataforma de análise de tráfego de rede amplamente utilizada em ambientes de segurança cibernética. Ele é uma ferramenta versátil que permite aos administradores de rede e profissionais de segurança monitorar, registrar e analisar o tráfego em suas redes para identificar comportamentos suspeitos, detectar intrusões e manter a integridade dos sistemas.
O Zeek se destaca por sua capacidade de lidar com grandes volumes de dados em tempo real, oferecendo uma visão detalhada das atividades de rede. Sua arquitetura modular permite a personalização e a expansão das funcionalidades por meio de scripts, tornando-o ideal para ambientes complexos e específicos. Com uma comunidade ativa e em constante crescimento, o Zeek continua a evoluir, incorporando novas funcionalidades e aprimoramentos que o mantêm na vanguarda da análise de segurança de rede.
Existem outras ferramentas IDS opensource, mas Zeek sem dúvida é uma das melhores.
Este lançamento é o resultado de meses de trabalho, começando em fevereiro de 2024, e é fruto de uma colaboração intensa, com mais de 1.100 commits, 330 pull requests e 140 issues resolvidas.
Modernização e Novidades na Arquitetura
O Zeek 7 marca o início de uma modernização significativa em sua arquitetura. O framework de Telemetria foi amplamente reestruturado, com a integração do prometheus-cpp
e civetweb
, permitindo agora o suporte nativo ao Prometheus para coleta de métricas em clusters, substituindo a antiga agregação personalizada que podia impactar o desempenho. Além disso, a API de telemetria em scripts foi simplificada para facilitar o uso. Para detalhes, a nova documentação de telemetria está disponível.
Spicy 1.11: Melhorias Internas
A nova versão do Spicy, 1.11, também acompanha o Zeek 7. Muitas melhorias aconteceram internamente, com uma reestruturação significativa do compilador para torná-lo mais rápido e eficiente. Essas mudanças tornam o Spicy mais rigoroso na detecção de erros e trazem melhorias de desempenho, especialmente em protocolos específicos. A documentação do Spicy agora inclui diretrizes sobre melhores práticas para escrita de parsers eficientes.
ZAM: Otimização de Scripts
O Zeek 7 introduz o suporte ao ZAM, uma máquina abstrata opcional que otimiza a execução de scripts Zeek. Ao invés de apenas interpretar scripts diretamente, o ZAM compila scripts em um formato de baixo nível para execução mais eficiente. Embora o ZAM esteja presente desde a versão 4.2, ele agora alcançou maturidade suficiente para ser recomendado para todos os usuários que buscam melhorar o desempenho de seus scripts.
Novidades e Melhorias Adicionais
Além dessas grandes mudanças, o Zeek 7 inclui várias melhorias na linguagem de script, configuração de analisadores e ingestão de JSON. Usuários que atualizam da série 6.0 encontrarão novos recursos, como analisadores QUIC e LDAP baseados no Spicy, suporte para upgrades de HTTP e análise de WebSocket, entre outros. Melhorias de desempenho adicionais também estão presentes.
Conclusão
O Zeek 7.0 é o início de um novo ciclo de lançamentos e agora é a versão de suporte de longo prazo (LTS), garantindo atualizações e correções de segurança. A versão LTS anterior, Zeek 6.0, será descontinuada quando o Zeek 7.1 for lançado nos próximos meses, então corre para atualizar.
Publicar comentário