Zeek/Bro 설치 방법

Zeek/Bro 설치 방법

2022-06-04 last update

6 minutes reading Linux Applications
Zeek는 이전에 Bro라고 불렸으며 Linux를 위한 네트워크 보안 모니터(NSM)입니다.사실 Zeek는 수동적으로 네트워크 데이터를 감시한다.Zeek의 가장 좋은 점은 개원된 것이기 때문에 완전히 무료라는 것이다.Zeek에 대한 자세한 내용은 를 참조하십시오https://docs.zeek.org/en/lts/about.html#what-is-zeek.이 강좌에서는 Ubuntu에 적용된 Zeek를 살펴봅니다.

필수 의존 항목


Zeek를 설치하기 전에 다음 항목이 설치되어 있는지 확인해야 합니다.
  • Libpcap(http://www.tcpdump.org)
  • OpenSSL 라이브러리(https://www.openssl.org
  • BIND8 라이브러리
  • Libz
  • Bash(ZeekControl용)
  • Python 3.5 이상https://www.python.org/
  • 필요한 종속 항목을 설치하려면 다음을 입력합니다.
    sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3 python3-dev swig zlib1g-dev
    다음은 이들 사이트의 설명에 따르면 Zeek 패키지를 얻을 수 있는 방법이 많다.https://docs.zeek.org/en/lts/install.html#id2.또한 사용 중인 운영 체제에 따라 지침에 따라 작업을 수행할 수 있습니다.그러나 Ubuntu 20.04에서 다음과 같은 작업을 했습니다.
    1. https://old.zeek.org/download/packages.html로 이동합니다.페이지 하단에서 "packages for the latest LTS release build here"를 찾은 다음 클릭합니다.
    2. 너는 가야 한다https://software.opensuse.org//download.html?project=security%3Azeek&package=zeek-lts.Zeek는 여러 운영 체제에 사용할 수 있습니다.여기서 Ubuntu를 눌렀습니다.저장소를 추가하고 수동으로 설치하거나 (ii) 바이너리 패키지를 직접 가져오는 두 가지 선택을 해야 합니다.당신의 운영체제 버전을 견지하는 것은 매우 중요합니다!만약 당신이 Ubuntu 20.04를 가지고 Ubuntu 20.10에 제공된 코드를 사용한다면, 그것은 일을 할 수 없을 것입니다!내가 Ubuntu 20.04를 가지고 있는 이상, 나는 내가 사용하는 코드를 쓸 것이다.
    echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_20.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
    
    curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_20.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
    
    sudo apt update
    
    sudo apt install zeek-lts
    설치 자체는 약간의 공간과 대량의 시간을 차지할 수 있으니 주의하세요!
    여기서 github에서 설치할 수 있는 더 간단한 방법이 있습니다.
    git clone --recursive https://github.com/zeek/zeek
    
    ./configure
    
    make
    
    make install
    이런 상황에서 모든 선결 조건이 최신이라는 것을 확보하세요!최신 버전에 Prequisite가 설치되어 있지 않으면 무서운 시간을 겪게 될 것입니다.둘 다 하는 것이 아니라 하나 또는 다른 것을 하다.
    3. 후자는 시스템에 Zeek를 설치해야 합니다!
    현재 cd를/opt/zeek/bin에 있는zeek 폴더에 넣습니다.
    cd /opt/zeek/bin
    5. 다음과 같은 도움말을 입력하십시오.
    ./zeek -h
    help 명령을 사용하면 zeek를 어떻게 사용하는지에 대한 다양한 정보를 볼 수 있습니다!수첩 자체가 길어요!
    다음은/opt/zeek/etc로 이동하여 노드를 수정합니다.cfg 파일.노드에 있습니다.cfg 파일, 인터페이스 수정.ifconfig를 사용하여 인터페이스가 무엇인지 찾아서 노드의 등호로 바꿉니다.cfg 파일.내 예에서 인터페이스는 enp0s3이기 때문에 나는 인터페이스를 enp0s3로 설정했다.
    네트워크를 동시에 설정하는 것도 현명하다.cfg 파일 (/opt/zeek/etc).네트워크에서cfg 파일에서 감시할 IP 주소를 선택하십시오.무시할 태그 옆에 태그를 놓습니다.
    7. 다음과 같은 방법으로 경로를 설정해야 합니다.
    echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc
    
    source ~/.bashrc
    다음으로 ZeekControl을 입력하고 설치합니다.
    Zeekctl  > install
    9. 다음 명령을 사용하여 zeek를 시작할 수 있습니다.
    Zeekctl > start
    다음 방법으로 상태를 확인할 수 있습니다.
    Zeekctl > status
    다음 방법으로 zeek를 중지할 수 있습니다.
    Zeekctl > stop
    다음 내용을 입력하여 종료할 수 있습니다.
    Zeekctl > exit

    zeek를 멈추면/opt/zeek/logs/current에서 로그 파일을 만듭니다.
    통지 중.zeek는 이상하거나 잠재적으로 위험하거나 전혀 좋지 않다고 생각하는 것들을 일지에 저장합니다.이 문서는 검사 가치가 있는 자료를 설치한 문서이기 때문에 절대로 주의할 필요가 있다.
    이상한 데서기록,zeek는 잘못된 연결, 고장/오류 설정된 하드웨어/서비스, 심지어 시스템을 혼동하려는 해커를 배치합니다.어쨌든 협의 차원에서 이상하다.
    그러니까 니가 이런 이상한 걸 소홀히 해도로그, 알림에서 이렇게 하지 않는 것을 권장합니다.로그통지로그는 침입 탐지 시스템 경보와 유사합니다.생성된 다양한 로그에 대한 자세한 내용은 https://docs.zeek.org/en/master/logs/index.html 를 참조하십시오.
    기본적으로 Zeek 컨트롤러는 생성된 로그를 받아들여 압축하고 날짜에 따라 저장합니다.이것은 매시간 한 번씩 하는 것이다./opt/zeek/etc/zeekctl에 있는 LogRotationInterval을 통해 실행 속도를 변경할 수 있습니다.cfg회사.
    기본적으로 모든 로그는 TSV 형식으로 작성됩니다.이제 로그를 JSON 형식으로 변환합니다.이를 위해, 택크를 막아라.
    In/opt/zeek/share/zeek/site/local.zeek, 다음을 추가합니다.
    #Output to JSON
    
    @load policy/tuning/json-logs
    또한 악의적인 활동을 감지하기 위해 스크립트를 직접 작성할 수 있습니다.스크립트는 zeek의 기능을 확장하는 데 사용됩니다.이렇게 하면 관리자가 네트워크 이벤트를 분석할 수 있습니다.자세한 내용과 방법은 https://docs.zeek.org/en/master/scripting/basics.html#understanding-scripts 를 참조하십시오.
    SIEM(보안 정보 및 이벤트 관리)을 사용하여 수집된 데이터를 분석할 수 있습니다.특히, 대부분의 SIEM은 TSV(기본 로그 파일)가 아닌 JSON 파일 형식을 사용합니다.사실 생성된 일지는 훌륭하지만, 그것들을 가시화하고 분석하는 것은 고통스러운 일이다!이것이 바로 SIEMs가 나타난 원인이다.SIEMs는 실시간으로 데이터를 분석할 수 있습니다.그 밖에 시장에는 많은 SIEM이 사용할 수 있고, 어떤 것은 가격이 비싸며, 어떤 것은 기원한 것이다.어떤 것을 선택하는지는 전적으로 당신에게 달려 있지만, 당신이 고려해야 할 개원 SIEM은 신축성 스택입니다.하지만 이는 또 다른 교훈이다.
    다음은 몇 가지 SIEM 예입니다.
  • 오심
  • 오세크
  • 세이건
  • SPLUNK 없음
  • SNORT
  • ELASTICSEARCH
  • MOZDEF
  • 큰뿔사슴더미
  • WAZUH
  • APACHE METRON
  • 아직 많아요!
    Zeek는 bro라고도 하는데 침입 탐지 시스템이 아니라 수동적인 네트워크 데이터 감시기이다.사실 침입 탐지 시스템이 아니라 네트워크 보안 모니터(NSM)입니다.어떤 방식이든지 인터넷상의 의심스럽고 악의적인 활동을 탐지할 수 있다.이 강좌에서 Zeek를 설치, 설정, 실행하는 방법을 배웠습니다.Zeek는 데이터 수집과 전시에 뛰어나지만 여전히 대량의 데이터를 선별해야 한다.이곳이 바로 샴페인이 쓸모 있는 곳이다.SIEMs는 데이터를 실시간으로 시각화하고 분석하는 데 사용됩니다.그러나, 우리는 SIEMs를 배우는 즐거움을 다음 날까지 남겨 둘 것이다!
    즐거운 인코딩!