Jag försöker hitta skillnad mellan Zeek och Snort 3. Kan någon berätta för mig vad är fördelarna med Zeek mot Snort 3?
Svar
Snort är mer ett traditionellt IDS / IPS som gör en djup paketinspektion och sedan tillämpar signaturer på trafiken för att upptäcka (och kanske blockera) attacker.
Zeek påstår sig inte vara ett IDS: i stället påstår det sig vara en nätverksmonitor och trafikanalysator. Från deras egen beskrivning :
Zeek är en passiv nätverkstrafikanalysator med öppen källkod. Det är främst en säkerhetsmonitor som inspekterar all trafik på en länk på djupet för tecken på misstänkt aktivitet. Mer generellt stöder dock Zeek ett brett spektrum av trafikanalysuppgifter även utanför säkerhetsdomänen, inklusive prestandamätningar och hjälp med felsökning.
Såvitt jag vet (dvs. vad jag fick från diskussioner med andra) Zeek är därför mer van vid att fånga detaljerna i trafiken och vidarebefordra dessa till något analyssystem. Analysen av attacker görs främst utanför Zeek och fokus för Zeek är att samla in detaljerad information om trafiken. Ibland läggs anpassade protokolldissektorer till som är specifika för de protokoll som används i miljön. Jag tror att Bro / Zeek till exempel används i Darktrace för att få trafikinformation.
Klassiska signaturbaserade IDS som Snort eller Suricata används istället mer som faktiska IDS, det vill säga fokus ligger på att matcha specifika attacksignaturer. Exempelvis ger Cisco sina abonnenter nya signaturer när nya attacker dyker upp. Men jag känner också till flera fall där Snort eller Suricata används för att bara samla in information om trafiken och mata dessa trafikdetaljer till ett större system, liknande hur Zeek vanligtvis används.
Med andra ord: det finns överlappande funktionalitet. Men de primära målen för dessa verktyg är olika och därmed också användningsfall.
Svar
Båda är NIDS ( System för detektering av nätverksintrång). Huvudskillnaden är hur de gör detekteringen, till exempel i fnys görs detekteringen inuti programvaran med hjälp av regler. Å andra sidan fungerar Bro / Zeek genom att dumpa informationen på filer och du måste göra detekteringen med andra verktyg, men jag tror att du i bro kan skapa plugins i Lua som kan märka nätverkskonversationerna som du vill. Förmodligen finns det fler skillnader (Licens, formatfiler och så vidare) men just nu är det de som tänkte mig.
Kommentarer
- tack för ditt svar. Men jag ' är intresserad av mer specifika saker. Kanske kan zeek upptäcka de typer av attacker som snark inte kan? Eller kanske det kräver mindre resurser?
- @ustavsaat, vilka attacker är du intresserad av att upptäcka? Det kan hjälpa dig att hitta " rätt verktyg för jobbet " eller få någon att föreslå något du har ' t anses som RITA .