arkime

Arkime est un système d'analyse de réseau et de capture de paquets à grande échelle.

Arkime augmente votre infrastructure de sécurité actuelle pour stocker et indexer le trafic réseau au format PCAP standard, offrant un accès rapide et indexé. Une interface Web intuitive et simple est fournie pour la navigation, la recherche et l'exportation de PCAP. Arkime expose les API qui permettent de télécharger et de consommer les données PCAP et les données de session formatées JSON. Arkime stocke et exporte tous les paquets au format PCAP standard, vous permettant également d'utiliser vos outils d'ingestion PCAP préférés, tels que Wireshark, pendant votre flux de travail d'analyse.

Arkime est conçu pour être déployé sur de nombreux systèmes et peut évoluer pour gérer des dizaines de gigabits / seconde de trafic. La rétention PCAP est basée sur l'espace disque des capteurs disponible. La rétention des métadonnées est basée sur l'échelle du cluster Elasticsearch. Les deux peuvent être augmentés à tout moment et sont sous votre contrôle total.

En savoir plus sur arkime.com

• Arrière-plan
• Installation
• Configuration
• Usage
• Sécurité
• API
• Contribuer
• Licence

Arkime, précédemment nommé Moloch, a été créé pour remplacer les systèmes de paquets complets commerciaux à AOL en 2012. En ayant un contrôle complet du matériel et des coûts, nous avons constaté que nous pouvions déployer une capture complète des paquets sur tous nos réseaux pour le même coût qu'un seul réseau à l'aide d'un outil commercial, avec une rétention plus grande.

Le système Arkime est composé de 3 composants principaux:

• Capture - Une application C filetée qui surveille le trafic réseau, écrit des fichiers formatés PCAP sur le disque local, analyse les paquets capturés et envoie des métadonnées (données SPI) à OpenSearch / Elasticsearch.
• Viewer - Une application Node.js qui s'exécute par machine de capture. Il gère l'interface Web et le transfert de paquets vers le navigateur.
• OpenSearch / Elasticsearch - La technologie de la base de données de recherche alimentant Arkime.

Nous fournissons également plusieurs applications facultatives:

• CONT3XT - Une application qui fournit une approche structurée pour recueillir l'intelligence contextuelle à l'appui des enquêtes techniques.
• Esproxy - Un proxy qui offre une sécurité supplémentaire entre Capture et OpenSearch / Elasticsearch.
• Parlement - Une application qui surveille et est une porte d'entrée de plusieurs grappes d'Arkime.
• WiService - Une application qui intègre l'intelligence des menaces dans les métadonnées de session.

Arkime propose une interface Web conviviale pour explorer les données réseau. La page Sessions fournit un aperçu complet, répertoriant les sessions individuelles qui peuvent être étendues pour afficher les détails des métadonnées et des paquets.

La page SPI View offre une ventilation détaillée des données, affichant toutes les valeurs uniques pour chaque champ reconnu par Arkime

La plupart des utilisateurs devraient utiliser les binaires prédéfinis disponibles sur notre page de téléchargements et suivre les instructions d'installation simples.

Pour les utilisateurs avancés, vous pouvez créer ARKIME vous-même:

• Assurez-vous que node est sur votre chemin, les supports principaux du nœud version 20.x
• git clone https://github.com/arkime/arkime - Dernière version sur Github
• ./easybutton-build.sh --install - Télécharge toutes les conditions préalables, construire et installer Arkime
• make config - Effectue une configuration initiale d'Arkime
• Reportez-vous au fichier contributing.md pour plus d'informations sur la façon de vous impliquer

La majeure partie de la configuration du système est située dans le fichier /opt/arkime/etc/config.ini . Les variables sont documentées sur notre page Paramètres.

Une fois qu'Arkime est en cours d'exécution, pointez votre navigateur vers http: // localhost: 8005 pour accéder à l'interface Web. Cliquez sur le hibou pour atteindre la page d'aide Arkime.

L'accès à Arkime est protégé en utilisant HTTPS avec des mots de passe Digest ou en utilisant une authentification fournissant un proxy de serveur Web. Tous les PCAP sont stockés sur les capteurs et ne sont accessibles qu'à l'aide de l'interface Arkime ou de l'API. Arkime n'est pas destiné à remplacer un IDS, mais travaille plutôt à ses côtés pour stocker et indexer tout le trafic réseau au format PCAP standard, offrant un accès rapide.

• Arkime peut être configuré pour utiliser les touches d'automobile ou API d'utilisateur OpenSearch / Elasticsearch.

• Les machines Arkime doivent être verrouillées, mais elles doivent se parler (port 8005), vers les machines Elasticsearch (ports 9200-920X), et l'interface Web doit être ouverte (port 8005).

• viewer d'Arkime doit être configurée pour utiliser TLS.

  • Il est plus facile d'utiliser un seul certificat avec plusieurs DNS ou un joker.
  • Assurez-vous de protéger le certificat sur le système de fichiers avec des autorisations de fichiers appropriées.
  • Edit CertFile et KeyFile Paramètres dans /opt/arkime/etc/config.ini.ini pour activer.

• Pour les grands déploiements, il est possible de configurer une viewer d'Arkime sur une machine centrale qui ne capture aucune donnée, plutôt que la machine passe à toutes les demandes d'interface utilisateur.

  • En utilisant un proxy inversé (Caddy, Apache, ...) peut gérer l'authentification et transmettre le nom d'utilisateur à Arkime, c'est ainsi que nous le déployons.

• Un mot de passe partagé stocké dans le fichier de configuration d'Arkime est utilisé pour crypter les hachages de mot de passe et pour la communication inter-archime.

  • Assurez-vous de protéger le fichier de configuration sur le système de fichiers avec les autorisations de fichier appropriées.
  • Les hachages de mot de passe chiffrés sont utilisés afin qu'un nouveau hachage de mot de passe ne puisse pas être inséré dans OpenSearch / Elasticsearch directement au cas où il n'aurait pas été sécurisé.

Vous pouvez en savoir plus sur l'API Arkime sur notre page API.

Veuillez vous référer au fichier contributing.md pour plus d'informations sur la façon de vous impliquer. Nous accueillons des problèmes, des demandes de fonctionnalités, des demandes de traction et des mises à jour de documentation dans GitHub. Pour des questions sur l'utilisation et le dépannage d'Arkime, veuillez utiliser les canaux Slack.

La meilleure façon de nous joindre est sur Slack. Veuillez demander une invitation à rejoindre l'espace de travail Arkime Slack ici.

Ce projet est concédé sous licence de la licence open source Apache 2.0. Veuillez vous référer à la licence pour les conditions complètes.