Snažím se najít rozdíl mezi Zeek a Snort 3. Někdo mi řekne, jaké jsou výhody Zeeku proti Snort 3?
Odpověď
Snort je spíše tradiční IDS / IPS, který provádí hloubkovou kontrolu paketů a poté aplikuje podpisy provoz za účelem detekce (a možná blokování) útoků.
Zeek neprohlašuje, že je IDS: místo toho prohlašuje, že je síťovým monitorem a analyzátorem provozu. Od jejich vlastní popis :
Zeek je pasivní, open-source analyzátor síťového provozu. Jedná se především o bezpečnostní monitor, který kontroluje veškerý provoz na odkazu do hloubky, zda nevykazuje známky podezřelé aktivity. Obecněji však Zeek podporuje širokou škálu úkolů analýzy provozu i mimo doménu zabezpečení, včetně měření výkonu a pomoci při řešení problémů.
Pokud vím (tj. to, co jsem získal z diskusí s ostatními) Zeek se proto více používá k zachycení podrobností o provozu a jejich předání nějakému analytickému systému. Analýza týkající se útoků se primárně provádí mimo Zeek a pro Zeek se zaměřuje na shromažďování podrobných informací o provozu. Někdy se přidávají vlastní disektory protokolů, které jsou specifické pro protokoly používané v prostředí. Myslím, že Bro / Zeek se například používá v Darktrace k získání podrobností o provozu.
IDS založené na klasickém podpisu, jako je Snort nebo Suricata, se místo toho více používají jako skutečné IDS, tj. Důraz je kladen na shodu konkrétních podpisů útoku. Například společnost Cisco poskytuje svým předplatitelům nové podpisy, když se objeví nové útoky. Znám ale také několik případů, kdy se Snort nebo Suricata používají pouze ke shromažďování informací o provozu a přenosu těchto podrobností o provozu do většího systému, podobně jako se obvykle používá Zeek.
Jinými slovy: existuje překrývající se funkce. Primární cíle těchto nástrojů jsou ale odlišné, a tedy i případy použití.
Odpověď
Oba jsou NIDS ( Systémy detekce narušení sítě). Hlavním rozdílem je způsob, jakým provádějí detekci, například při odfrknutí se detekce provádí uvnitř softwaru pomocí pravidel. Na druhou stranu Bro / Zeek funguje tak, že ukládá informace o souborech a je třeba provést detekci pomocí jiných nástrojů, ale myslím, že v bro můžete v Lua vytvořit pluginy, které mohou označovat síťové konverzace, jak chcete. Pravděpodobně existuje více rozdílů (licence, formátování souborů atd.), Ale právě teď mi přišly na mysl.
Komentáře
- děkuji za odpověď. Ale ' zajímám se o konkrétnější věci. Možná zeek dokáže detekovat typy útoků, které snort nemůže? Nebo to možná vyžaduje méně zdrojů?
- @ustavsaat, jaké útoky byste chtěli detekovat? To vám může pomoci najít " správný nástroj pro práci " nebo přimět někoho, aby vám navrhl něco, na co jste ' nepovažovány za RITA .