arkime

Arkime ist ein großes, Open-Source-Netzwerkanalyse und ein Paketaufnahmesystem.

Arkime erweitert Ihre aktuelle Sicherheitsinfrastruktur, um den Netzwerkverkehr im Standard -PCAP -Format zu speichern und zu indexieren, und bietet einen schnellen, indizierten Zugriff. Eine intuitive und einfache Weboberfläche wird für das Surfen, Suchen und Exportieren von PCAP bereitgestellt. Arkime enthält APIs, mit denen PCAP -Daten- und JSON -Sitzungsdaten direkt heruntergeladen und konsumiert werden können. Arkime speichert und exportiert alle Pakete im Standard -PCAP -Format und ermöglicht es Ihnen, auch Ihre bevorzugten PCAP -Einnahmewerkzeuge wie Wireshark während Ihres Analyse -Workflows zu verwenden.

Arkime ist so konstruiert, dass sie in vielen Systemen eingesetzt werden können, und kann skalieren, um zehn Gigabits/Sekunden des Verkehrs zu bewältigen. Die PCAP -Retention basiert auf dem verfügbaren Sensor -Festplattenraum. Die Metadatenretention basiert auf der Elasticsearch -Cluster -Skala. Beide können jederzeit erhöht werden und stehen unter Ihrer vollständigen Kontrolle.

Erfahren Sie mehr über Arkime.com

• Hintergrund
• Installation
• Konfiguration
• Verwendung
• Sicherheit
• API
• Beitragen
• Lizenz

Arkime, zuvor Moloch genannt, wurde 2012 erstellt, um kommerzielle Vollpackungssysteme bei AOL zu ersetzen. Durch die vollständige Kontrolle über Hardware und Kosten konnten wir die vollständige Paketaufnahme in allen unseren Netzwerken für die gleichen Kosten einsetzen wie nur ein Netzwerk mit einem kommerziellen Tool mit größerer Bindung.

Das Arkime -System besteht aus 3 Hauptkomponenten:

• Capture - Eine Thread -C -Anwendung, die den Netzwerkverkehr überwacht, auf PCAP -formatierte Dateien auf die lokale Festplatte schreibt, die erfassten Pakete analysiert und Metadaten (SPI -Daten) an OpenSearch/Elasticsearch sendet.
• Viewer - Eine Node.js -Anwendung, die pro Erfassungsmaschine ausgeführt wird. Es behandelt die Weboberfläche und die Übertragung von Paketen in den Browser.
• OpenSearch/ElasticSearch - Die Suchdatenbank -Technologie, die Arkime betreibt.

Wir bieten auch mehrere optionale Anwendungen:

• CONT3XT - Eine Anwendung, die einen strukturierten Ansatz zum Sammeln von kontextbezogenen Intelligenz zur Unterstützung technischer Untersuchungen bietet.
• Eproxy - Ein Proxy, der zusätzliche Sicherheit zwischen Capture und OpenSearch/Elasticsearch bietet.
• Parlament - eine Anwendung, die überwacht und eine Haustür für mehrere Arkime -Cluster ist.
• WISSEVICE - Eine Anwendung, die Bedrohungsintelligenz in die Sitzungsmetadaten integriert.

Arkime bietet eine benutzerfreundliche Weboberfläche zum Erkunden von Netzwerkdaten. Auf der Seite der Sitzungen können Sie eine umfassende Übersicht übernehmen, in der einzelne Sitzungen aufgeführt werden können, die erweitert werden können, um Metadaten- und Paketdetails anzuzeigen.

Die SPI -Ansichtsseite bietet eine detaillierte Datenaufschlüsselung, in der alle eindeutigen Werte für jedes von Arkime erkannte Feld angezeigt werden

Die meisten Benutzer sollten die auf unserer Download -Seite verfügbaren Binärdateien verwenden und den einfachen Installationsanweisungen befolgen.

Für fortgeschrittene Benutzer können Sie Arkime selbst erstellen:

• Stellen Sie sicher, dass sich node auf Ihrem Pfad befindet. Derzeit unterstützt der Hauptknotenversion 20.x
• git clone https://github.com/arkime/arkime - Neueste Version auf GitHub
• ./easybutton-build.sh --install -lädt alle Voraussetzungen herunter, bauen und installieren Arkime
• make config - führt eine anfängliche Arkime -Konfiguration durch
• Informationen zur Einbindung finden Sie in der Datei mit beitragen.md -Datei

Der größte Teil der Systemkonfiguration befindet sich in der Datei /opt/arkime/etc/config.ini . Die Variablen sind auf unserer Einstellungsseite dokumentiert.

Sobald Arkime ausgeführt wird, richten Sie Ihren Browser auf http: // localhost: 8005, um auf die Weboberfläche zuzugreifen. Klicken Sie auf die Eule, um die Seite mit Arkime -Hilfe zu erreichen.

Der Zugriff auf Arkime wird geschützt, indem HTTPS mit Digest -Passwörtern verwendet oder eine Authentifizierung verwendet wird, die Webserver -Proxy bereitstellt. Alle PCAPs werden auf den Sensoren gespeichert und werden nur mit der Arkime -Schnittstelle oder API zugegriffen. Arkime soll keine IDs ersetzen, sondern zusammen mit ihnen zusammenarbeiten, um den gesamten Netzwerkverkehr im Standard -PCAP -Format zu speichern und zu indizieren, wodurch ein schneller Zugriff bietet.

• Arkime kann so konfiguriert werden, dass sie OpenSearch/Elasticsearch -Benutzerauth- oder API -Schlüssel verwenden.

• Arkime-Maschinen sollten gesperrt sein, sie müssen jedoch miteinander (Port 8005) mit den Elasticsearch-Maschinen (Ports 9200-920x) sprechen, und die Webschnittstelle muss geöffnet sein (Port 8005).

• Arkime viewer sollte für die Verwendung von TLS konfiguriert sein.

  • Es ist am einfachsten, ein einzelnes Zertifikat mit mehreren DNs oder einer Wildcard zu verwenden.
  • Stellen Sie sicher, dass Sie das Zertifikat im Dateisystem mit ordnungsgemäßen Dateiberechtigungen schützen.
  • Bearbeiten Sie die Einstellungen von Certfile und KeyFile in /opt/arkime/etc/config.ini.ini um zu aktivieren.

• Für große Bereitstellungen ist es möglich, einen Arkime viewer auf einer zentralen Maschine einzurichten, die keine Daten erfasst, stattdessen die Maschine Gateways alle UI -Anforderungen.

  • Mit einem Reverse -Proxy (Caddy, Apache, ...) kann die Authentifizierung umgehen und den Benutzernamen an Arkime weitergeben. So bereitstellen wir sie.

• Ein in der Arkime-Konfigurationsdatei gespeicherter gemeinsames Kennwort wird zum Verschlüsseln von Kennworthashes und zur Kommunikation zwischen Karten verwendet.

  • Stellen Sie sicher, dass Sie die Konfigurationsdatei im Dateisystem mit den richtigen Dateiberechtigungen schützen.
  • Verschlüsselte Passwort -Hashes werden verwendet, sodass ein neuer Passwort -Hash nicht direkt in OpenSearch/Elasticsearch eingefügt werden kann, falls es nicht gesichert wurde.

Sie können mehr über die Arkime -API auf unserer API -Seite erfahren.

Weitere Informationen zur Einbindung finden Sie in der Datei für die beitragen.md.md -Datei. Wir begrüßen Probleme, Feature -Anfragen, Anfragen und Dokumentationsaktualisierungen in GitHub. Für Fragen zur Verwendung und Fehlerbehebung Arkime verwenden Sie bitte die Slack -Kanäle.

Der beste Weg, uns zu erreichen, ist auf Slack. Bitte fordern Sie eine Einladung an, sich hier dem Arkime Slack -Arbeitsbereich anzuschließen.

Dieses Projekt ist unter den Bestimmungen der Open -Source -Lizenz von Apache 2.0 lizenziert. Bitte beachten Sie die Lizenz für die vollständigen Bedingungen.