Como Instalar Zeek 7.0.2 no Ubuntu 24.04.1 LTS

Zeek, anteriormente conhecido como Bro, é uma poderosa ferramenta de monitoramento e análise de tráfego de rede, amplamente utilizada em atividades de Cyber Threat Hunting. Sua principal função é capturar e inspecionar o tráfego em tempo real, oferecendo informações detalhadas sobre o comportamento da rede. Para caçadores de ameaças (threat hunters), Zeek é um aliado crucial, pois permite a identificação de anomalias e atividades suspeitas que podem ser indicativos de um ataque ou movimentações maliciosas dentro da rede.

Diferente de ferramentas tradicionais que focam na detecção de assinaturas, Zeek se destaca pela sua capacidade de fornecer uma análise profunda dos eventos e contextos de rede. Isso facilita a criação de hipóteses de hunting, permitindo que profissionais de segurança encontrem ameaças avançadas e persistentes (APT), ataques de dia zero e outras atividades que muitas vezes passam despercebidas por soluções convencionais.

Instalação

1. Atualize e faça o upgrade do Ubuntu usando apt:

sudo apt-get update
sudo apt-get upgrade

2. Instale as dependências:

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python3-dev swig zlib1g-dev

2. Atualize o repositório e instale o Zeek

Note que a versão do Ubuntu em uma novainstalação não possui o “curl”

sudo apt install curl
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_24.04/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_24.04/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
sudo apt update
sudo apt install zeek

8. Adicione o diretório do Zeek ao arquivo bashrc:

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

No meu ambiente só funcionou após reiniciar o sistema.

9. Verifique a instalação:

zeek --version

10. Configuração de rede:

No UBUNTU a placa de rede não é denominada como ETH0. Execute um dois comandos a seguir para identificar o nome da sua placa de rede:

ip a

ou o comando

ifconfig 

Talvez no seu ambiente não tenha o comando ifconfig, então instale usando:

sudo apt install net-tools

Em seguida configure o arquivo /opt/zeek/etc/node.cfg

sudo nano /opt/zeek/etc/node.cfg

Configure o arquivo /opt/zeek/etc/networks.cfg para adicionar as redes de seu ambiente, utilizar o formato CIDR .
Exemplo: 172.16.0.0/16

sudo nano /opt/zeek/etc/networks.cfg

11. Valide se os scripts estão corretos:

Se o seu usuário executar como root (sudo su) basta executar o comando:

zeekctl check

Do contrario:

sudo -s
cd /opt/zeek/bin/
./zeekctl check

12. Implemente o Zeek:

Se o seu usuário executar como root (sudo su) basta executar o comando:

zeekctl deploy

Do contrario:

cd /opt/zeek/bin/
sudo ./zeekctl deploy

🚨 Apó executar esse comando com sucesso o zeek inicia a captura de pacotes.

13. Verifique o status:

Se o seu usuário executar como root (sudo su) basta executar o comando:

zeekctl status

Do contrario:

sudo ./zeekctl status

14. Logs:

Execute os comandos com Os logs ficam disponiveis em opt/zeek/logs

sudo su

Podemos consultar usando o comando:

tail -f /opt/zeek/logs/current/conn.log

Iniciando e parando a captura:

Parara a captura de pacotes:

zeekctl stop

Iniciar a captura

zeekctl start

Conclusão

Com o Zeek devidamente instalado e configurado, você pode começar a monitorar e analisar sua rede em tempo real, identificando atividades suspeitas e prevenindo possíveis ataques. Agora que você concluiu a instalação, aproveite o poder do Zeek para fortalecer a segurança do seu ambiente, aplicando técnicas de Cyber Threat Hunting e melhorando sua defesa cibernética de maneira contínua.

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*