Diferencia entre Zeek (Bro) y Snort 3

Snort es más un IDS / IPS tradicional que realiza una inspección profunda de paquetes y luego aplica firmas en el tráfico para detectar (y tal vez bloquear) ataques.

Zeek no pretende ser un IDS: en cambio, afirma ser un monitor de red y analizador de tráfico. De su propia descripción :

Zeek es un analizador de tráfico de red pasivo y de código abierto. Es principalmente un monitor de seguridad que inspecciona todo el tráfico en un enlace en profundidad para detectar signos de actividad sospechosa. Sin embargo, de manera más general, Zeek admite una amplia gama de tareas de análisis de tráfico incluso fuera del dominio de seguridad, incluidas las mediciones de rendimiento y la ayuda con la resolución de problemas.

Hasta donde yo sé (p. ej. lo que obtuve de las discusiones con otros) Zeek, por lo tanto, se usa más para capturar los detalles del tráfico y enviarlos a algún sistema de análisis. El análisis con respecto a los ataques se realiza principalmente fuera de Zeek y el enfoque de Zeek es recopilar información detallada sobre el tráfico. A veces, se agregan disectores de protocolos personalizados que son específicos para los protocolos utilizados en el entorno. Creo que Bro / Zeek se usa, por ejemplo, en Darktrace para obtener los detalles del tráfico.

Los IDS basados en firmas clásicas como Snort o Suricata se usan más como IDS reales, es decir, el enfoque está en hacer coincidir firmas de ataque específicas. Por ejemplo, Cisco proporciona a sus suscriptores nuevas firmas cuando surgen nuevos ataques. Pero también conozco varios casos en los que Snort o Suricata se utilizan para recopilar solo información sobre el tráfico y alimentar estos detalles de tráfico en un sistema más grande, similar a cómo se usa normalmente Zeek.

En otras palabras: hay Funcionalidad superpuesta. Pero los objetivos principales de estas herramientas son diferentes y, por lo tanto, también lo son los casos de uso.

Ambos son NIDS ( Sistemas de detección de intrusos en la red). La principal diferencia es la forma en que hacen la detección, por ejemplo, en snort, la detección se realiza dentro del software mediante el uso de reglas. Por otro lado, Bro / Zeek funciona volcando la información en archivos y necesitas hacer la detección con otras herramientas, sin embargo, creo que en bro puedes crear complementos en Lua que pueden etiquetar las conversaciones de red como quieras. Probablemente hay más diferencias (Licencia, archivos de formato, etc.) pero ahora mismo son las que me vienen a la mente.

Comentarios

• gracias por tu respuesta. Pero estoy ' interesado en cosas más específicas. ¿Quizás zeek pueda detectar los tipos de ataques que snort no puede? ¿O tal vez requiere menos recursos?
• @ustavsaat, ¿qué ataques estás interesado en detectar? Eso puede ayudarte a encontrar " la herramienta adecuada para el trabajo " o conseguir que alguien te sugiera algo que no tienes ' t considerado como RITA .