Differenza tra Zeek (Bro) e Snort 3

Snort è più un IDS / IPS tradizionale che esegue unispezione approfondita dei pacchetti e quindi applica le firme il traffico per rilevare (e forse bloccare) gli attacchi.

Zeek non pretende di essere un IDS: invece afferma di essere un monitor di rete e analizzatore di traffico. Da la loro descrizione :

Zeek è un analizzatore di traffico di rete passivo e open source. È principalmente un monitor di sicurezza che ispeziona tutto il traffico su un collegamento in modo approfondito alla ricerca di segni di attività sospetta. Più in generale, tuttavia, Zeek supporta unampia gamma di attività di analisi del traffico anche al di fuori del dominio della sicurezza, comprese le misurazioni delle prestazioni e lassistenza nella risoluzione dei problemi.

Per quanto ne so (ad es. cosa ho ottenuto dalle discussioni con altri) Zeek è quindi più abituato a catturare i dettagli del traffico e inoltrarli a qualche sistema di analisi. Lanalisi degli attacchi viene eseguita principalmente al di fuori di Zeek e lobiettivo di Zeek è la raccolta di informazioni dettagliate sul traffico. A volte vengono aggiunti dissettori di protocollo personalizzati specifici per i protocolli utilizzati nellambiente. Penso che Bro / Zeek sia ad esempio utilizzato in Darktrace per ottenere i dettagli del traffico.

IDS basati su firme classiche come Snort o Suricata sono invece più usati come IDS effettivi, ovvero lattenzione è rivolta alla corrispondenza di firme di attacco specifiche. Ad esempio, Cisco fornisce ai suoi abbonati nuove firme quando emergono nuovi attacchi. Ma conosco anche diversi casi in cui Snort o Suricata vengono utilizzati solo per raccogliere informazioni sul traffico e fornire questi dettagli sul traffico in un sistema più ampio, simile a come viene utilizzato tipicamente Zeek.

In altre parole: cè funzionalità sovrapposte. Ma gli obiettivi principali di questi strumenti sono diversi e quindi sono anche i casi duso.

Entrambi sono NIDS ( Sistemi di rilevamento delle intrusioni di rete). La differenza principale è il modo in cui effettuano il rilevamento, ad esempio in snort il rilevamento viene effettuato allinterno del software utilizzando delle regole. Daltra parte, Bro / Zeek funziona scaricando le informazioni sui file e devi eseguire il rilevamento con altri strumenti, tuttavia penso che in bro puoi creare plugin in Lua che possono etichettare le conversazioni di rete come desideri. Probabilmente ci sono più differenze (licenza, file di formato e così via) ma in questo momento sono quelle che mi sono venute in mente.

Commenti

• grazie per la tua risposta. Ma ' mi interessano cose più specifiche. Forse zeek è in grado di rilevare i tipi di attacchi che non possono sbuffare? O forse richiede meno risorse?
• @ustavsaat, quali attacchi sei interessato a rilevare? Questo potrebbe aiutarti a trovare " lo strumento giusto per il lavoro " o convincere qualcuno a suggerirti qualcosa che non hai ' t considerato come RITA .