ZeekとSnort3の違いを見つけようとしています。誰もがZeekの利点を教えてくれます。 Snort 3に対して?
回答
Snortは、ディープパケットインスペクションを実行してから署名を適用する従来のIDS / IPSです。攻撃を検出する(そしておそらくブロックする)ためのトラフィック。
ZeekはIDSであるとは主張していません。代わりに、ネットワークモニターおよびトラフィックアナライザーであると主張しています。独自の説明:
Zeekは、パッシブなオープンソースのネットワークトラフィックアナライザです。主にセキュリティモニターです。リンク上のすべてのトラフィックを詳細に検査して、疑わしいアクティビティの兆候がないか調べます。ただし、より一般的には、Zeekは、パフォーマンス測定やトラブルシューティングの支援など、セキュリティドメイン外でも幅広いトラフィック分析タスクをサポートします。
私の知る限り(つまり、他の人との話し合いから得たもの)したがって、Zeekはトラフィックの詳細をキャプチャし、それらを分析システムに転送するために使用されます。攻撃に関する分析は主にZeekの外部で行われ、Zeekの焦点はトラフィックに関する詳細情報の収集にあります。環境で使用されるプロトコルに固有のカスタムプロトコルディセクタが追加される場合があります。たとえば、Bro / Zeekは、トラフィックの詳細を取得するためにDarktraceで使用されていると思います。
代わりに、SnortやSuricataなどの従来の署名ベースのIDSが実際のIDSとして使用されます。つまり、特定の攻撃署名の照合に重点が置かれます。たとえば、シスコは、新しい攻撃が発生したときに、加入者に新しい署名を提供します。しかし、Zeekが通常使用されるのと同様に、SnortまたはSuricataがトラフィックに関する情報の収集のみに使用され、これらのトラフィックの詳細をより大きなシステムにフィードする場合もいくつか知っています。
つまり、重複する機能。ただし、これらのツールの主な目的は異なり、したがってユースケースでもあります。
回答
どちらもNIDS(ネットワーク侵入検知システム)。主な違いは、検出方法です。たとえば、snortでは、ルールを使用してソフトウェア内で検出が行われます。一方、Bro / Zeekはファイルの情報をダンプすることで機能し、他のツールで検出を行う必要がありますが、Broでは、ネットワーク会話に必要に応じてラベルを付けることができるプラグインをLuaで作成できると思います。おそらくもっと多くの違い(ライセンス、フォーマットファイルなど)がありますが、今、それが私の頭に浮かんだものです。
コメント
- あなたの答えに感謝します。しかし、私は'より具体的なことに興味があります。たぶん、zeekはsnortが検出できないタイプの攻撃を検出できますか?または、必要なリソースが少ないのでしょうか?
- @ustavsaat、どの攻撃を検出することに関心がありますか?これは、"仕事に適したツール"を見つけたり、誰かにあなたが持っていないものを提案してもらうのに役立つ場合があります' RITA などと見なされます。