Zeek является бесплатным, с открытым исходным кодом и ведущий в мире инструмент мониторинга безопасности, используемый в качестве системы обнаружения вторжений в сеть и анализатора сетевого трафика. Специалисты по безопасности используют его для обнаружения подозрительных сигнатур и отслеживания активности DNS, HTTP и FTP. Zeek работает путем регистрации сетевой активности в отдельном файле. Этот файл содержит всю важную информацию: типы MIME, ответы сервера, DNS-запросы, HTTP-сессии, запрашиваемые URI, SSL-сертификаты и многое другое.
Это руководство покажет вам, как установить инструмент сетевой безопасности Zeek на Ubuntu 22.04.
Начало работы
Сначала необходимо обновить все системные пакеты до обновленной версии. Вы можете обновить их, выполнив следующую команду.
apt update -yapt upgrade -y
После обновления всех системных пакетов, установите некоторые необходимые пакеты с помощью следующей команды.
apt install curl gnupg2 wget -y
Добавить репозиторий Zeek
По умолчанию пакет Zeek не включен в репозиторий Ubuntu по умолчанию. Поэтому вам нужно будет добавить репозиторий Zeek в APT.
Сначала скачайте и добавьте GPG ключ Zeek следующей командой.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg
Следующей командой добавьте репозиторий Zeek.
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list
Далее обновите кэш репозитория с помощью следующей команды.
apt update -y
Установка Zeek
Теперь вы можете установить инструмент Zeek, просто выполнив следующую команду.
apt install zeek -y
В процессе установки вам будет предложено выбрать почтовый сервер, как показано ниже:
Выберите local only и нажмите клавишу Enter. Вам будет предложено указать имя хоста вашего почтового сервера.
Введите имя хоста и нажмите клавишу Enter для завершения установки.
Следующим шагом вам нужно будет добавить путь установки Zeek в системную переменную. Вы можете добавить его с помощью следующей команды.
echo "export PATH=$PATH:/opt/zeek/bin" >> /.bashrc
Следующей командой активируйте системную переменную.
source /.bashrc
Вы можете проверить версию Zeek с помощью следующей команды:
zeek --versionВы получите следующий результат.
zeek версии 5.1.1
Настройка сервера Zeek
Сначала отредактируйте файл конфигурации сети Zeek и определите вашу сеть.
nano /opt/zeek/etc/networks.cfg
Здесь представлены сети по умолчанию. Вы можете добавить дополнительные сети в конце файла.
10.0.0.0/8 Частное IP пространство 172.16.0.0/12 Частное IP пространство 192.168.0.0/16 Частное IP пространство
Сохраните и закройте файл, затем отредактируйте основной файл конфигурации Zeek.
nano /opt/zeek/etc/node.cfg
Закомментируйте следующие строки:
#[zeek] #type=standalone #host=localhost #interface=eth0
Затем добавьте следующие конфигурации в конец файла.
[zeek-logger] type=logger host=your-server-ip # [zeek-manager] type=manager host=your-server-ip # [zeek-proxy] type=proxy host=your-...server-ip # [zeek-worker] type=worker host=your-server-ip interface=eth0 # [zeek-worker-lo] type=worker host=localhost interface=lo
Сохраните файл, затем проверьте конфигурацию Zeek с помощью следующей команды.
zeekctl check
Вы получите следующий результат.
Совет: Запустите команду zeekctl "deploy" для начала работы. zeek-logger scripts are ok. zeek-manager scripts are ok. zeek-proxy scripts are ok. zeek-worker scripts are ok. zeek-worker-lo scripts are ok.
Теперь вы можете развернуть Zeek с помощью следующей команды.
zeekctl deploy
Вы получите следующий результат.
проверка конфигураций ... установка ... создание каталогов политик ... установка политик сайта ... генерация cluster-layout.zeek ... генерация local-networks.zeek ... генерация zeekctl-config.zeek ... генерация zeekctl-config.sh ... остановка ... остановка рабочих ... остановка прокси ... остановка менеджера ... остановка регистратора ... запуск ... запуск регистратора ... запуск менеджера ... запуск прокси ... запуск рабочих ...
Проверка статуса Zeek
На этом этапе Zeek установлен и настроен. Теперь вы можете проверить статус Zeek с помощью следующей команды.
zeekctl status
Вы получите следующий результат.
Name Type Host Status Pid Started zeek-logger logger 209.23.10.179 running 58935 19 Jan 05:37:02 zeek-manager manager manager 209.23.10.179 running 58985 19 Jan 05:37:03 zeek-proxy proxy 209.23.10.179 running 59035 19 Jan 05:37:05 zeek-worker worker 209.23.10.179 running 59107 19 Jan 05:37:06 zeek-worker-lo worker localhost running 59104 19 Jan 05:37:06
Zeek хранит свои логи в каталоге /opt/zeek/logs/current/. Вы можете проверить все файлы журналов с помощью следующей команды.
ls -l /opt/zeek/logs/current/
Вы увидите следующие результаты.
total 72 -rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log -rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log -rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log -rw-r-r-- 1 root zeek 6158 Jan 19 05:37 conn.log -rw-r-r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log -rw-r-r-- 1 root zeek 666 Jan 19 05:37 reporter.log -rw-r-r-- 1 root zeek 601 Jan 19 05:37 stats.log -rw-r-r-- 1 root zeek 0 Jan 19 05:37 stderr.log -rw-r-r--r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log -rw-r-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log -rw-r-r--r--r-- 1 root zeek 960 Jan 19 05:37 weird.log
Чтобы проверить журнал кластера Zeek, выполните следующую команду.
tail /opt/zeek/logs/current/cluster.log
Вы получите следующий результат.
1674106627,672399zeek-proxygot hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9) 1674106627.744144zeek-proxy получил привет от zeek-worker-lo (0c8c7207-f1a1-540d-aee0-2b55cf76e69f) 1674106627.674594zeek-managergot привет от zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9) 1674106627.752439zeek-managergot привет от zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f) 1674106627.672635zeek-worker-logot привет от zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e) 1674106627.674358zeek-worker-logot привет от zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9) 1674106627.666564zeek-worker-logot привет от zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab) 1674106627.708986zeek-workergot привет от zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9) 1674106627.699878zeek-workergot привет от zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e) 1674106627.706099zeek-workergot hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
Чтобы проверить журнал соединений Zeek, выполните следующую команду.
tail /opt/zeek/logs/current/conn.log
Вы получите следующий результат.
1674106667.717311Camkki2oVKl4J9dgpd209.23.10.17947762209.23.10.17956180tcp----OTHFF0CccC0000- 1674106667.742276CZ7aKU3nUfkjSSN5x6209.23.10.17956182209.23.10.17947762tcp----OTHFF0CcCc0000- 1674106667.742332Cd58V813jeHygHXQS2209.23.10.17956176209.23.10.17947762tcp----OTHFF0CcCc0000- 1674106668.621860CZlcm316EidXbp4aMj209.23.10.17941430209.23.10.17947761tcp----OTHFF0Cc0000-
Заключение
Поздравляю! Вы успешно установили инструмент мониторинга безопасности Zeek на сервер Ubuntu 22.04. Я надеюсь, что эта статья поможет понять архитектуру сети и расследовать любую вредоносную активность. Не стесняйтесь спрашивать меня, если у вас есть какие-либо вопросы.
Комментарии (0)