Jeg prøver å finne forskjell mellom Zeek og Snort 3. Kan noen fortelle meg hva som er fordelene med Zeek mot Snort 3?
Svar
Snort er mer en tradisjonell IDS / IPS som gjør noe dyp pakkeinspeksjon og deretter bruker signaturer på trafikken for å oppdage (og kanskje blokkere) angrep.
Zeek hevder ikke å være en IDS: i stedet hevder den å være en nettverksmonitor og trafikkanalysator. Fra sin egen beskrivelse :
Zeek er en passiv, åpen kildekode-nettverkstrafikkanalysator. Det er først og fremst en sikkerhetsmonitor som inspiserer all trafikk på en lenke i dybden for tegn på mistenkelig aktivitet. Mer generelt støtter Zeek imidlertid et bredt spekter av trafikkanalysearbeidsoppgaver, selv utenfor sikkerhetsdomenet, inkludert ytelsesmålinger og hjelp med feilsøking.
Så vidt jeg vet (dvs. hva jeg fikk av diskusjoner med andre) Zeek er derfor mer brukt til å fange detaljene i trafikken og videresende disse til noe analysesystem. Analysen angående angrep er først og fremst gjort utenfor Zeek, og fokuset for Zeek er å samle detaljert informasjon om trafikken. Noen ganger blir det lagt til tilpassede protokolldissektorer som er spesifikke for protokollene som brukes i miljøet. Jeg tror Bro / Zeek for eksempel brukes i Darktrace for å få trafikkdetaljene.
Klassiske signaturbaserte IDS som Snort eller Suricata blir i stedet mer brukt som faktiske IDS, dvs. fokuset er på å matche spesifikke angrepssignaturer. For eksempel gir Cisco sine abonnenter nye signaturer når nye angrep dukker opp. Men jeg kjenner også flere tilfeller der Snort eller Suricata bare brukes til å samle informasjon om trafikken og mate disse trafikkdetaljene til et større system, som ligner på hvordan Zeek vanligvis brukes.
Med andre ord: det er overlappende funksjonalitet. Men de primære målene for disse verktøyene er forskjellige, og dermed er det også brukssakene.
Svar
Begge er NIDS ( Nettverksinnbruddssystemer). Hovedforskjellen er måten de oppdager på, for eksempel i fnys blir deteksjonen gjort inne i programvaren ved hjelp av regler. På den annen side fungerer Bro / Zeek ved å dumpe informasjonen på filer, og du må gjøre deteksjonen med andre verktøy, men jeg tror at du i bro kan lage plugins i Lua som kan merke nettverkssamtalene som du vil. Sannsynligvis er det flere forskjeller (lisens, formatfiler og så videre), men akkurat nå er det de som kom til meg.
Kommentarer
- takk for svaret ditt. Men jeg ' er interessert i mer spesifikke ting. Kanskje zeek kan oppdage hvilke typer angrep som fnyst ikke kan? Eller kanskje det krever mindre ressurser?
- @ustavsaat, hvilke angrep er du interessert i å oppdage? Det kan hjelpe deg med å finne " det rette verktøyet for jobben " eller få noen til å foreslå noe du har ' t anses som RITA .