Arkime, büyük ölçekli ağ analizi ve paket yakalama için açık kaynaklı bir sistemdir. Ağ trafiğini standart PCAP biçiminde depolamak ve dizin depolamak için mevcut güvenlik araçlarınızla çalışır, bu da arama ve erişmeyi kolaylaştırır.
Çözüm, PCAP dosyalarını taramak, aramak ve dışa aktarmak için basit bir web arayüzü içerir. Arkime ayrıca PCAP verilerini ve oturum verilerini JSON formatında indirmek için API’ler sağlar. Arkime standart PCAP dosyaları kullandığından, verileri Wireshark gibi diğer araçlarla analiz edebilirsiniz.
Sistemin üç ana parçası vardır:
- Esir almak – Ağ trafiğini izleyen, PCAP dosyalarını diske yazan, yakalanan paketleri ayrıştıran ve opensearch veya elasticsearch’a meta verileri (SPI verileri) gönderen AC uygulaması.
- İzleyici – Her yakalama makinesinde çalışan bir Node.js uygulaması. Web arayüzünü yönetir ve tarayıcıya paketler gönderir.
- Opensearch/Elasticsearch – Arkime tarafından kullanılan arama veritabanı.
Arkime ayrıca isteğe bağlı araçlar içerir:
- CONT3XT: Soruşturmaları desteklemek için bağlamsal zeka toplanmasına yardımcı olur.
- ESPROXY: Yakalama ve Opensearch veya Elasticsearch arasında ekstra bir güvenlik katmanı ekler.
- Parlamento: Birden fazla Arkime kümesine monitörler ve erişim sağlar.
- Wiseservice: Tehdit zekasını oturum meta verilerine entegre eder.
Arkime, birçok sistemde konuşlandırılabilir ve trafikte saniyede onlarca gigabit işlemek için ölçeklendirilebilir. PCAP tutma, sensörlerinizdeki mevcut disk alanına bağlıdır. Meta veri tutma, elasticsearch kümenizin boyutuna bağlıdır. Her ikisi de herhangi bir zamanda genişletilebilir ve tamamen kontrolünüz altındadır.
Arkime GitHub’da ücretsiz olarak kullanılabilir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!