Diferença entre Zeek (Bro) e Snort 3

Snort é mais um IDS / IPS tradicional que faz alguma inspeção profunda de pacotes e então aplica assinaturas em o tráfego para detectar (e talvez bloquear) ataques.

Zeek não alega ser um IDS: em vez disso, afirma ser um monitor de rede e analisador de tráfego. De sua própria descrição :

Zeek é um analisador de tráfego de rede passivo e de código aberto. É principalmente um monitor de segurança que inspeciona todo o tráfego em um link em profundidade em busca de sinais de atividade suspeita. Mais geralmente, no entanto, Zeek oferece suporte a uma ampla gama de tarefas de análise de tráfego, mesmo fora do domínio de segurança, incluindo medições de desempenho e ajuda na resolução de problemas.

Tanto quanto eu sei (ou seja, o que recebi de discussões com outros) Zeek é, portanto, mais usado para capturar os detalhes do tráfego e encaminhá-los para algum sistema de análise. A análise sobre os ataques é feita principalmente fora da Zeek, e o foco da Zeek é coletar informações detalhadas sobre o tráfego. Às vezes, dissetores de protocolo personalizados são adicionados, os quais são específicos para os protocolos usados no ambiente. Acho que Bro / Zeek é, por exemplo, usado no Darktrace para obter os detalhes do tráfego.

IDS com base em assinatura clássica, como Snort ou Suricata, são mais usados como IDS reais, ou seja, o foco está em combinar assinaturas de ataque específicas. Por exemplo, a Cisco fornece a seus assinantes novas assinaturas quando novos ataques surgem. Mas também conheço vários casos em que Snort ou Suricata são usados apenas para coletar informações sobre o tráfego e alimentar esses detalhes de tráfego em um sistema maior, semelhante a como o Zeek é normalmente usado.

Em outras palavras: há funcionalidade de sobreposição. Mas os objetivos principais dessas ferramentas são diferentes e, portanto, também são os casos de uso.

Ambos são NIDS ( Sistemas de detecção de intrusão de rede). A principal diferença é a forma como fazem a detecção, por exemplo no snort a detecção é feita dentro do software por meio de regras. Por outro lado, o Bro / Zeek trabalha despejando as informações nos arquivos e você precisa fazer a detecção com outras ferramentas, porém acho que no bro você pode criar plugins em Lua que podem rotular as conversas da rede como você quiser. Provavelmente há mais diferenças (licença, arquivos de formato e assim por diante), mas agora são essas que me vieram à mente.

Comentários

• obrigado pela sua resposta. Mas eu ' estou interessado em coisas mais específicas. Talvez o zeek consiga detectar os tipos de ataques que o snort não consegue? Ou talvez exija menos recursos?
• @ustavsaat, quais ataques você está interessado em detectar? Isso pode ajudá-lo a encontrar " a ferramenta certa para o trabalho " ou fazer com que alguém sugira algo que você não tem ' t considerado como RITA .