web-dev-qa-db-fra.com

Différence entre Zeek (Bro) et Snort 3

J'essaie de trouver la différence entre Zeek et Snort 3. Il faut que quelqu'un me dise quels sont les avantages de Zeek contre Snort 3?

1
ustavsaat

Snort est plus un IDS/IPS traditionnels qui fait un peu inspection approfondie des paquets, puis applique des signatures sur le trafic afin de détecter les attaques (et peut-être bloquer).

Zeek ne prétend pas être un IDS: au lieu qu'il prétend être un analyseur de moniteur de réseau et du trafic. De leur description :

Zeek est un passif, l'analyseur de trafic réseau open source. Il est avant tout un moniteur de sécurité qui inspecte tout le trafic sur un lien en profondeur des signes d'activité suspecte. De manière plus générale, cependant, Zeek prend en charge une large gamme de tâches d'analyse du trafic, même en dehors du domaine de la sécurité, y compris les mesures de performance et d'aider avec le dépannage.

Pour autant que je sais (à savoir ce que je suis arrivé des discussions avec les autres) Zeek est donc plus utilisé pour capturer les détails du trafic et les transmet à un système d'analyse. L'analyse en ce qui concerne les attaques se fait principalement en dehors de Zeek et la mise au point pour Zeek est sur la collecte des informations détaillées sur le trafic. Parfois, le protocole sur mesure Dissecteurs sont ajoutés qui sont spécifiques pour les protocoles utilisés dans l'environnement. Je pense que Bro/Zeek est par exemple utilisé dans Darktrace pour obtenir les détails de la circulation.

Signature classique IDS Snort comme base ou Suricata sont plutôt plus utilisés comme IDS réels, i.e. l'accent est mis sur la correspondance des signatures d'attaque spécifique. Par exemple Cisco fournit à ses abonnés de nouvelles signatures lorsque de nouvelles attaques émergent. Mais je sais aussi plusieurs cas où Snort ou Suricata sont utilisés seulement recueillir des informations sur le trafic et alimentent ces informations sur le trafic dans un système plus large, semblable à la façon dont Zeek est généralement utilisé.

En d'autres termes: il y a des fonctionnalités qui se chevauchent. Mais les principaux objectifs de ces outils sont différents et sont donc aussi les cas d'utilisation.

1
Steffen Ullrich

Les deux sont Nids (systèmes de détection d'intrusion de réseau). La principale différence est la façon dont ils rendent la détection, par exemple dans Snort, la détection est faite à l'intérieur du logiciel en utilisant des règles. D'autre part, Bro/Zeek travaille en déposant les informations sur les fichiers et vous devez faire la détection avec d'autres outils, mais je pense que dans BRO, vous pouvez créer des plug-ins dans Lua pouvant étiqueter les conversations de réseau que vous le souhaitez. Il y a probablement plus de différences (licence, fichiers de format, etc.), mais également celles qui sont venues à mon esprit.

0
camp0