Verschil tussen Zeek (Bro) en Snort 3

Snort is meer een traditionele IDS / IPS die wat diepe pakketinspectie uitvoert en vervolgens handtekeningen toepast op het verkeer om aanvallen te detecteren (en misschien te blokkeren).

Zeek beweert geen IDS te zijn: in plaats daarvan beweert het een netwerkmonitor en verkeersanalysator te zijn. Van hun eigen beschrijving :

Zeek is een passieve, open-source netwerkverkeersanalysator. Het is in de eerste plaats een beveiligingsmonitor die inspecteert al het verkeer op een link diepgaand op tekenen van verdachte activiteit. Meer in het algemeen ondersteunt Zeek echter een breed scala aan verkeersanalysetaken, zelfs buiten het beveiligingsdomein, inclusief prestatiemetingen en hulp bij probleemoplossing.

Voor zover ik weet (d.w.z. wat ik kreeg van discussies met anderen) Zeek wordt daarom meer gebruikt om de details van het verkeer vast te leggen en door te sturen naar een of ander analysesysteem. De analyse van aanvallen gebeurt voornamelijk buiten Zeek en de focus voor Zeek ligt op het verzamelen van gedetailleerde informatie over het verkeer. Soms worden aangepaste protocoldissectoren toegevoegd die specifiek zijn voor de protocollen die in de omgeving worden gebruikt. Ik denk dat Bro / Zeek bijvoorbeeld wordt gebruikt in Darktrace om de verkeersdetails te krijgen.

Klassieke op handtekeningen gebaseerde IDS zoals Snort of Suricata worden in plaats daarvan meer gebruikt als daadwerkelijke IDS, d.w.z. de focus ligt op het matchen van specifieke aanvalshandtekeningen. Cisco geeft zijn abonnees bijvoorbeeld nieuwe handtekeningen wanneer nieuwe aanvallen zich voordoen. Maar ik ken ook verschillende gevallen waarin Snort of Suricata worden gebruikt om alleen informatie over het verkeer te verzamelen en deze verkeersdetails in een groter systeem te sturen, vergelijkbaar met hoe Zeek doorgaans wordt gebruikt.

Met andere woorden: er is overlappende functionaliteit. Maar de primaire doelen van deze tools zijn verschillend en dus ook de use cases.

Beiden zijn NIDS ( Systemen voor netwerkinbraakdetectie). Het belangrijkste verschil is de manier waarop ze de detectie uitvoeren, bijvoorbeeld bij snuiven wordt de detectie binnen de software gedaan aan de hand van regels. Aan de andere kant werkt Bro / Zeek door de informatie op bestanden te dumpen en moet je de detectie doen met andere tools, maar ik denk dat je in bro plug-ins kunt maken in Lua die de netwerkconversaties kunnen labelen zoals je wilt. Waarschijnlijk zijn er meer verschillen (licentie, bestanden opmaken, enzovoort), maar dat zijn nu degene die bij me opkwamen.

Opmerkingen

• bedankt voor je antwoord. Maar ik ' ben geïnteresseerd in meer specifieke dingen. Misschien kan zeek de soorten aanvallen detecteren die niet kunnen snuiven? Of vereist het misschien minder middelen?
• @ustavsaat, welke aanvallen wilt u detecteren? Dat kan je helpen om " de juiste tool voor de taak te vinden " of iemand iets laten voorstellen dat je niet hebt ' t beschouwd als RITA .