Différence entre Zeek (Bro) et Snort 3

Jessaie de trouver la différence entre Zeek et Snort 3. Quelquun peut-il me dire quels sont les avantages de Zeek contre Snort 3?

Réponse

Snort est plus un IDS / IPS traditionnel qui effectue une inspection approfondie des paquets puis applique des signatures sur le trafic afin de détecter (et peut-être de bloquer) les attaques.

Zeek ne prétend pas être un IDS: il prétend être un moniteur de réseau et un analyseur de trafic. De leur propre description :

Zeek est un analyseur de trafic réseau passif et open source. Il sagit principalement dun moniteur de sécurité qui inspecte en profondeur tout le trafic sur un lien pour détecter tout signe dactivité suspecte. Cependant, plus généralement, Zeek prend en charge un large éventail de tâches danalyse du trafic même en dehors du domaine de la sécurité, y compris des mesures de performances et une aide au dépannage.

Autant que je sache (i.e. ce que jai obtenu des discussions avec les autres) Zeek est donc plus utilisé pour capturer les détails du trafic et les transmettre à un système danalyse. Lanalyse des attaques se fait principalement en dehors de Zeek et Zeek se concentre sur la collecte dinformations détaillées sur le trafic. Parfois, des dissecteurs de protocole personnalisés sont ajoutés, qui sont spécifiques aux protocoles utilisés dans lenvironnement. Je pense que Bro / Zeek est par exemple utilisé dans Darktrace pour obtenir les détails du trafic.

Les IDS classiques basés sur des signatures comme Snort ou Suricata sont plutôt utilisés comme IDS réels, cest-à-dire que laccent est mis sur la correspondance des signatures dattaque spécifiques. Par exemple, Cisco fournit à ses abonnés de nouvelles signatures lorsque de nouvelles attaques émergent. Mais je connais aussi plusieurs cas où Snort ou Suricata sont utilisés pour collecter uniquement des informations sur le trafic et alimenter ces détails de trafic dans un système plus grand, similaire à la façon dont Zeek est généralement utilisé.

En dautres termes: il y a fonctionnalité de chevauchement. Mais les objectifs principaux de ces outils sont différents et sont donc aussi les cas dutilisation.

Réponse

Les deux sont NIDS ( Systèmes de détection dintrusion réseau). La principale différence est la façon dont ils effectuent la détection, par exemple dans snort la détection se fait à lintérieur du logiciel en utilisant des règles. Dun autre côté, Bro / Zeek fonctionne en vidant les informations sur les fichiers et vous devez faire la détection avec dautres outils, mais je pense que dans bro, vous pouvez créer des plugins dans Lua qui peuvent étiqueter les conversations réseau comme vous le souhaitez. Il y a probablement plus de différences (licence, fichiers de format, etc.) mais pour le moment, ce sont celles qui me viennent à lesprit.

Commentaires

  • merci pour votre réponse. Mais je ' m intéressé par des choses plus spécifiques. Peut-être que zeek peut détecter les types dattaques que snort ne peut pas? Ou peut-être que cela nécessite moins de ressources?
  • @ustavsaat, quelles attaques souhaitez-vous détecter? Cela peut vous aider à trouver " le bon outil pour le travail " ou à demander à quelquun de vous suggérer quelque chose que vous navez pas ' t considéré tel que RITA .

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *