Описание тега zeek
0
ответов
SIEM с BRO и ELK - Где добавить скрипт BRO?
После настройки SIEM с помощью Bro/Zeek с ELK. Я нашел в сети несколько скриптов, которые будут генерировать оповещение в notice.log . куда именно мне нужно поставить эти скрипты? как проверить скрипт? благодарю вас
01 окт '19 в 19:51
1
ответ
Что нужно сделать для запуска пользовательского сценария в Zeek(братан) NSM и создания уведомления в файлах журнала?
Я новичок в Zeek NSM. Я написал сценарий, который просто генерируетnotice logs. Я не знаю, где мне разместить этот сценарий или какие шаги нужно выполнить, чтобы сгенерироватьnotice logs или мой custom logs Я уже просмотрел документацию Zeek и выясн…
13 ноя '19 в 22:12
1
ответ
Как установить mmdb_dir в Zeek / Bro
Я пытаюсь использовать функцию GeoIp в Bro/Zeek. Из официальной документации Zeek: Если вы видите сообщение об ошибке, подобное "Не удалось открыть базу данных местоположений GeoIP", возможно, вам потребуется переименовать или переместить файл базы …
21 апр '20 в 19:20
1
ответ
Zeek Workers не может общаться с Zeek Proxy/ менеджером
Я установил небольшой кластер zeek, и он работал нормально. Вот моя грубая установка: Proxy/Manager/Logger - 192.168.1.10 Worker-1 - 192.168.1.10 (em1) Worker-2 - 192.168.1.15 (em1) Worker-3 - 192.168.1.15 (p1p1) Worker-4 - 192.168.1.15 (p1p2) Wor…
23 апр '20 в 21:04
0
ответов
Zeek отсутствует файл loaded_scripts.log
Я использую автономный Zeek для учебных целей, и я столкнулся со следующими проблемами в файле журнала: Мне не хватает файла "loaded_scripts.log" в текущей папке. Я следовал руководству по установке из руководства Rapid7 и Zeek, поэтому я думаю, что…
17 дек '19 в 21:16
1
ответ
Можно ли с помощью Zeek проверить зарезервированные биты TCP?
Я тестирую возможности Zeek/Bro с точки зрения обнаружения различных типов стеганографии. После работы с протоколом ICMP теперь я пытаюсь проверить протокол TCP. Я хочу определить, изменены ли зарезервированные биты в TCP с помощью событий TCP. К со…
24 мар '20 в 01:02
1
ответ
Zeek Scripting "Отсутствует значение поля ошибки"
Я пытаюсь написать сценарий Zeek, чтобы разделить трафик DNS на два файла журнала (запрос и ответ). Ошибка "Поле отсутствует значение" для кода $TTL=c$dns$TTLs в dns_query_replyсобытие. Я не понимаю причину этой ошибки, поскольку файл dns.log правил…
31 мар '20 в 15:47
0
ответов
Позволяет ли Zeek проверять заголовки RTP?
Позволяет ли Zeek проверять заголовки RTP? Насколько я вижу, здесь нет RTP Analizer не было добавлено. Так что у меня есть еще один вопрос по этой теме. Есть ли какое-либо существующее руководство или учебное пособие, объясняющее, как я могу самосто…
08 апр '20 в 22:37
0
ответов
Ошибка при установке Zeek-aux: Неизвестная команда CMake "FindRequiredPackage"
Я загрузил заархивированный исходный код zeek-aux с https://github.com/zeek/zeek-aux. При компиляции я получаю следующую ошибку. 'Неизвестная команда CMake "FindRequiredPackage"' Любая помощь приветствуется.
09 апр '20 в 08:03
1
ответ
Как настроить братан, чтобы он игнорировал трафик из определенных подсетей?
Ситуация: я установил Zeek/Bro IDS и заставил его прослушивать один интерфейс (с пересылкой трафика iptables. client1 === iptables === client2 || zeek_ids Проблема: Zeek запускается трафиком 127.0.0.1/8, и я не могу найти никаких материалов, которые…
01 апр '20 в 05:43
3
ответа
Кластер Zeek выходит из строя с pcap_error: socket: операция не разрешена (pcap_activate)
Я пытаюсь настроить кластер Zeek IDS (v.3.2.0-dev.271) на 3 хостах Ubuntu 18.04 LTS, но безрезультатно - работаетzeek deploy команда завершается ошибкой со следующим выводом: fatal error: problem with interface ens3 (pcap_error: socket: Operation no…
03 апр '20 в 20:19
0
ответов
Zeek/Bro IDS - Sumstats - количество TCP-сегментов одинакового размера?
Я пытаюсь написать свой первый скрипт в Zeek, который позволил бы делать статистику из сегментов пакетов TLS, отправленных и полученных клиентом в локальной сети (количество пакетов с одинаковым размером, список адресов назначения по отправленным па…
22 май '20 в 15:54
0
ответов
Zeek о HTTP-журналировании Raspberry Pi, Беспорядочный режим, Topolgy
Я установил Zeek на Pi 4. Крутая кривая обучения! Но, наконец, я смог настроить его почти сразу же, за исключением некоторых конфигураций, фреймворков и скриптов, ни один из которых не является основным. Мне также удалось связать его с угрозой Intel…
21 июн '20 в 17:06
1
ответ
Zeek не сохраняет файлы даже после загрузки скрипта. Что мне не хватает?
Я пытаюсь настроить Zeek для хранения файлов (каждого файла) на диске, но безуспешно. ОС, которую я использую: Debian 10. Что я сделал до сих пор: Я установил этот модуль: https://github.com/hosom/file-extraction (даже после перехода на этот сайт ht…
11 май '21 в 21:38
0
ответов
Как установить Zeek Cluster на разные ОС?
Я пытаюсь запустить очень маленький кластер Zeek на моем основном ПК (Ubuntu 20.04) и виртуальной машине (Ubuntu 18.04). Когда я бегу zeekctl deploy запускается менеджер и прокси, а рабочий вылетает. Вот мой node.cfg: [manager] type=manager host=10.…
06 июн '21 в 15:04
1
ответ
Как решить двойную ошибку, определенную правилом в подписи Zeek?
Я пытаюсь выучить подпись зика Имя файла подписи: dns.sig signature dns-intel{ ip-proto == udp dst-port == 53 payload /.*life|.*bar/ event "[Suspicious DNS Query]" } Имя файла Zeek: myfirst.zeek event signature_match (state: signature_state, msg: st…
12 июн '21 в 04:17
1
ответ
загрузка данных подключения zeek в pyflink
Попытка загрузить такие данные (данные соединения zeek) в pyflink. Моя проблема - это поля id, которые имеют имя с точкой, потому что изначально они были кортежем в zeek. '''{"ts":1584544201.798601,"uid":"CSgDnESdxqqAN88H3","id.orig_h":"172.24.41.32…
18 авг '21 в 19:05
0
ответов
Процесс перезапускается автоматически после SIGTERM или SIGKILL
Я пытаюсь написать сценарий python , который запустит процесс, и всякий раз, когда происходит событие, сценарий завершает процесс и перезапускает его снова после задержки. Чтобы остановить процесс, я использую kill -15 (SIGTERM), за которым следует …
23 сен '21 в 18:04
0
ответов
Зик журналы для лося
Я установил elk на сервере и zeek с filebeat на другом сервере. Я следил за документацией, чтобы установить каждый из них, но filebeat не отправляет журналы zeek в kibana. кстати, базовые журналы filebeat отправляются в kibana, но без журналов zeek …
19 сен '21 в 11:25
1
ответ
Зик (Бро) вылетает после перезапуска интерфейса
У меня проблемы с программным обеспечением zeek. После перезапуска сетевого интерфейса eth0 происходит сбой zeekctl. Есть ли способ автоматически перезапустить процесс zeekctl после перезапуска сетевого интерфейса? Заранее спасибо. tail -f /opt/zeek…
17 окт '21 в 08:47