Я установил Zeek на Pi 4. Крутая кривая обучения! Но, наконец, я смог настроить его почти из коробки, за исключением некоторых конфигураций, фреймворков и скриптов, ни один из которых не является основным. Мне также удалось связать его с угрозой Intel IntelStack. Я бы все равно назвал свою конфигурацию Zeek в основном из коробки.
Три проблемы / вопроса для изученных здесь:
- Я заметил, что ведение журнала HTTP не происходит. Кажется, я не могу найти, какая структура для сценария .zeek отвечает за его включение. Если у кого-то есть в этом опыт, было бы здорово узнать. Я пробовал использовать скрипт http-прокси, который есть в документации Zeek, но это не помогло. Я понял, что, вероятно, не будет, но все равно хотел попробовать. Кажется, не удается найти http.log.
- Сейчас он прослушивает единственный доступный сетевой интерфейс по умолчанию - eth0. Есть ли смысл в настройке eth1 на неразборчивый режим и в том, чтобы он слушал все в сети? Это вообще возможно? Было бы лучше использовать это?
- Я настроил это в сети как один из DNS-серверов. Достаточно ли этого в сетевой топологии для адекватной защиты и функционирования Zeek в качестве IDS? Я должен добавить, что на Pi уже работает DNS-сервер.
- Более простой - при попытке использовать zeek-cut bash сообщает, что команда не найдена. Что мне здесь делать?