Zeek เป็นเฟรมเวิร์กแบบโอเพ่นซอร์สออกแบบมาสำหรับวิเคราะห์ทราฟิกของเครือข่าย แตกต่างจากอุปกรณ์รักษาความปลอดภัยอย่างเช่น ไฟร์วอลล์ โดยมันจะทำงานบน “เซ็นเซอร์” ที่หลากหลาย ไม่ว่าจะเป็นฮาร์ดแวร์ ซอฟต์แวร์ เวอร์ชวลแพลตฟอร์ม หรือคลาวด์
โดยมันจะทำการตรวจสอบปริมาณการใช้งานเครือข่ายอย่างเงียบๆ มีการวิเคราะห์การใช้งานนั้น และสร้างล็อกไฟล์ เนื้อหาของไฟล์ และผลลัพธ์ที่เราสามารถคัสตอไมซ์ได้เอง และนำมาตรวจสอบด้วยตนเองได้อย่างง่ายดายหรือใช้เครื่องมือ SIEM ในการตรวจเช็กก็ได้
ฟีเจอร์เด่นๆ ของ Zeek มีดังนี้
– Zeek มีตัววิเคราะห์ (analyzers) สำหรับโปรโตคอลต่างๆ มากมาย ช่วยให้สามารถวิเคราะห์ข้อมูลเชิงความหมายที่ระดับแอปพลิเคชันได้
– ภาษาสคริปต์เฉพาะโดเมนของ Zeek ช่วยให้สร้างนโยบายการมอนิเตอร์เครือข่ายที่ตรงกับความต้องการของแต่ละไซต์
– Zeek ถูกออกแบบมาสำหรับเครือข่ายที่มีประสิทธิภาพสูง ใช้งานได้จริงในสเกลขนาดใหญ่ต่างๆ ได้
– Zeek จะรักษาสถานะของเครือข่ายที่ระดับแอปพลิเคชันอย่างละเอียด ช่วยให้มองเห็นภาพรวมของกิจกรรมเครือข่ายในช่วงเวลานั้นๆ
– Zeek สามารถเก็บข้อมูลกิจกรรมเครือข่ายไว้ในรูปแบบที่สามารถเรียกดูและวิเคราะห์ได้ในภายหลัง
Zeek สามารถติดตั้งได้ง่าย เนื่องจากเป็นส่วนหนึ่งของคลังแพ็กเกจต่างๆ มากมาย รวมไปถึง
– ระบบปฏิบัติการ Linux หลายรุ่น
– FreshPorts บน FreeBSD
– MacPorts / Homebrew บน macOS
– สำหรับระบบ Linux ผู้ใช้สามารถดาวน์โหลดตัวติดตั้งไบนารีได้ผ่าน openSUSE Build Service
ดาวน์โหลด Zeek ได้ที่ GitHub
