Zeek, anteriormente conhecido como Bro, é uma poderosa ferramenta de monitoramento e análise de tráfego de rede, amplamente utilizada em atividades de Cyber Threat Hunting. Sua principal função é capturar e inspecionar o tráfego em tempo real, oferecendo informações detalhadas sobre o comportamento da rede. Para caçadores de ameaças (threat hunters), Zeek é um aliado crucial, pois permite a identificação de anomalias e atividades suspeitas que podem ser indicativos de um ataque ou movimentações maliciosas dentro da rede.
Diferente de ferramentas tradicionais que focam na detecção de assinaturas, Zeek se destaca pela sua capacidade de fornecer uma análise profunda dos eventos e contextos de rede. Isso facilita a criação de hipóteses de hunting, permitindo que profissionais de segurança encontrem ameaças avançadas e persistentes (APT), ataques de dia zero e outras atividades que muitas vezes passam despercebidas por soluções convencionais.
Instalação
1. Atualize e faça o upgrade do Ubuntu usando apt:
sudo apt-get update
sudo apt-get upgrade
2. Instale as dependências:
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3-dev swig zlib1g-dev
2. Atualize o repositório e instale o Zeek
Note que a versão do Ubuntu em uma novainstalação não possui o “curl”
sudo apt install curl
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek
8. Adicione o diretório do Zeek ao arquivo bashrc:
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc
No meu ambiente só funcionou após reiniciar o sistema.
9. Verifique a instalação:
zeek --version
10. Configuração de rede:
No UBUNTU a placa de rede não é denominada como ETH0. Execute um dois comandos a seguir para identificar o nome da sua placa de rede:
ip a
ou o comando
ifconfig
Talvez no seu ambiente não tenha o comando ifconfig, então instale usando:
sudo apt install net-tools
Em seguida configure o arquivo /opt/zeek/etc/node.cfg
sudo nano /opt/zeek/etc/node.cfg
Configure o arquivo /opt/zeek/etc/networks.cfg para adicionar as redes de seu ambiente, utilizar o formato CIDR .
Exemplo: 172.16.0.0/16
sudo nano /opt/zeek/etc/networks.cfg
11. Valide se os scripts estão corretos:
Se o seu usuário executar como root (sudo su) basta executar o comando:
zeekctl check
Do contrario:
sudo -s
cd /opt/zeek/bin/
./zeekctl check
12. Implemente o Zeek:
Se o seu usuário executar como root (sudo su) basta executar o comando:
zeekctl deploy
Do contrario:
cd /opt/zeek/bin/
sudo ./zeekctl deploy
🚨 Apó executar esse comando com sucesso o zeek inicia a captura de pacotes.
13. Verifique o status:
Se o seu usuário executar como root (sudo su) basta executar o comando:
zeekctl status
Do contrario:
sudo ./zeekctl status
14. Logs:
Execute os comandos com Os logs ficam disponiveis em opt/zeek/logs
sudo su
Podemos consultar usando o comando:
tail -f /opt/zeek/logs/current/conn.log
Iniciando e parando a captura:
Parara a captura de pacotes:
zeekctl stop
Iniciar a captura
zeekctl start
Conclusão
Com o Zeek devidamente instalado e configurado, você pode começar a monitorar e analisar sua rede em tempo real, identificando atividades suspeitas e prevenindo possíveis ataques. Agora que você concluiu a instalação, aproveite o poder do Zeek para fortalecer a segurança do seu ambiente, aplicando técnicas de Cyber Threat Hunting e melhorando sua defesa cibernética de maneira contínua.
Seja o primeiro a comentar