Как установить инструмент мониторинга сетевой безопасности Zeek на Ubuntu 22.04

Zeek является бесплатным, с открытым исходным кодом и ведущий в мире инструмент мониторинга безопасности, используемый в качестве системы обнаружения вторжений в сеть и анализатора сетевого трафика. Специалисты по безопасности используют его для обнаружения подозрительных сигнатур и отслеживания активности DNS, HTTP и FTP. Zeek работает путем регистрации сетевой активности в отдельном файле. Этот файл содержит всю важную информацию: типы MIME, ответы сервера, DNS-запросы, HTTP-сессии, запрашиваемые URI, SSL-сертификаты и многое другое.

Это руководство покажет вам, как установить инструмент сетевой безопасности Zeek на Ubuntu 22.04.

Начало работы

Сначала необходимо обновить все системные пакеты до обновленной версии. Вы можете обновить их, выполнив следующую команду.

apt update -yapt upgrade -y

После обновления всех системных пакетов, установите некоторые необходимые пакеты с помощью следующей команды.

apt install curl gnupg2 wget -y

Добавить репозиторий Zeek

По умолчанию пакет Zeek не включен в репозиторий Ubuntu по умолчанию. Поэтому вам нужно будет добавить репозиторий Zeek в APT.

Сначала скачайте и добавьте GPG ключ Zeek следующей командой.

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

Следующей командой добавьте репозиторий Zeek.

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

Далее обновите кэш репозитория с помощью следующей команды.

apt update -y

Установка Zeek

Теперь вы можете установить инструмент Zeek, просто выполнив следующую команду.

apt install zeek -y

В процессе установки вам будет предложено выбрать почтовый сервер, как показано ниже:

Выберите local only и нажмите клавишу Enter. Вам будет предложено указать имя хоста вашего почтового сервера.

Введите имя хоста и нажмите клавишу Enter для завершения установки.

Следующим шагом вам нужно будет добавить путь установки Zeek в системную переменную. Вы можете добавить его с помощью следующей команды.

echo "export PATH=$PATH:/opt/zeek/bin" >> 
/.bashrc

Следующей командой активируйте системную переменную.

source 
/.bashrc

Вы можете проверить версию Zeek с помощью следующей команды:

zeek --version
Вы получите следующий результат.
zeek версии 5.1.1

Настройка сервера Zeek

Сначала отредактируйте файл конфигурации сети Zeek и определите вашу сеть.

nano /opt/zeek/etc/networks.cfg

Здесь представлены сети по умолчанию. Вы можете добавить дополнительные сети в конце файла.

10.0.0.0/8 Частное IP пространство
172.16.0.0/12 Частное IP пространство
192.168.0.0/16 Частное IP пространство

Сохраните и закройте файл, затем отредактируйте основной файл конфигурации Zeek.

nano /opt/zeek/etc/node.cfg

Закомментируйте следующие строки:

#[zeek]
#type=standalone
#host=localhost
#interface=eth0

Затем добавьте следующие конфигурации в конец файла.

[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-...server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

Сохраните файл, затем проверьте конфигурацию Zeek с помощью следующей команды.

zeekctl check

Вы получите следующий результат.

Совет: Запустите команду zeekctl "deploy" для начала работы.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.

Теперь вы можете развернуть Zeek с помощью следующей команды.

zeekctl deploy

Вы получите следующий результат.

проверка конфигураций ...
установка ...
создание каталогов политик ...
установка политик сайта ...
генерация cluster-layout.zeek ...
генерация local-networks.zeek ...
генерация zeekctl-config.zeek ...
генерация zeekctl-config.sh ...
остановка ...
остановка рабочих ...
остановка прокси ...
остановка менеджера ...
остановка регистратора ...
запуск ...
запуск регистратора ...
запуск менеджера ...
запуск прокси ...
запуск рабочих ...

Проверка статуса Zeek

На этом этапе Zeek установлен и настроен. Теперь вы можете проверить статус Zeek с помощью следующей команды.

zeekctl status

Вы получите следующий результат.

Name Type Host Status Pid Started
zeek-logger logger 209.23.10.179 running 58935 19 Jan 05:37:02
zeek-manager manager manager 209.23.10.179 running 58985 19 Jan 05:37:03
zeek-proxy proxy 209.23.10.179 running 59035 19 Jan 05:37:05
zeek-worker worker 209.23.10.179 running 59107 19 Jan 05:37:06
zeek-worker-lo worker localhost running 59104 19 Jan 05:37:06

Zeek хранит свои логи в каталоге /opt/zeek/logs/current/. Вы можете проверить все файлы журналов с помощью следующей команды.

ls -l /opt/zeek/logs/current/

Вы увидите следующие результаты.

total 72
-rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log
-rw-r-r-- 1 root zeek 6158 Jan 19 05:37 conn.log
-rw-r-r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r-r-- 1 root zeek 666 Jan 19 05:37 reporter.log
-rw-r-r-- 1 root zeek 601 Jan 19 05:37 stats.log
-rw-r-r-- 1 root zeek 0 Jan 19 05:37 stderr.log
-rw-r-r--r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log
-rw-r-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log
-rw-r-r--r--r-- 1 root zeek 960 Jan 19 05:37 weird.log

Чтобы проверить журнал кластера Zeek, выполните следующую команду.

tail /opt/zeek/logs/current/cluster.log

Вы получите следующий результат.

1674106627,672399zeek-proxygot hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144zeek-proxy получил привет от zeek-worker-lo (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594zeek-managergot привет от zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439zeek-managergot привет от zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635zeek-worker-logot привет от zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358zeek-worker-logot привет от zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564zeek-worker-logot привет от zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986zeek-workergot привет от zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878zeek-workergot привет от zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099zeek-workergot hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)

Чтобы проверить журнал соединений Zeek, выполните следующую команду.

tail /opt/zeek/logs/current/conn.log

Вы получите следующий результат.

1674106667.717311Camkki2oVKl4J9dgpd209.23.10.17947762209.23.10.17956180tcp----OTHFF0CccC0000-
1674106667.742276CZ7aKU3nUfkjSSN5x6209.23.10.17956182209.23.10.17947762tcp----OTHFF0CcCc0000-
1674106667.742332Cd58V813jeHygHXQS2209.23.10.17956176209.23.10.17947762tcp----OTHFF0CcCc0000-
1674106668.621860CZlcm316EidXbp4aMj209.23.10.17941430209.23.10.17947761tcp----OTHFF0Cc0000-

Заключение

Поздравляю! Вы успешно установили инструмент мониторинга безопасности Zeek на сервер Ubuntu 22.04. Я надеюсь, что эта статья поможет понять архитектуру сети и расследовать любую вредоносную активность. Не стесняйтесь спрашивать меня, если у вас есть какие-либо вопросы.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Похожие статьи

Комментарии (0)