arkime

Arkime adalah skala besar, analisis jaringan open-source dan sistem penangkapan paket.

Arkime menambah infrastruktur keamanan Anda saat ini untuk menyimpan dan mengindeks lalu lintas jaringan dalam format PCAP standar, menyediakan akses yang cepat dan diindeks. Antarmuka web yang intuitif dan sederhana disediakan untuk penelusuran, pencarian, dan ekspor PCAP. Arkime memaparkan API yang memungkinkan data PCAP dan data sesi yang diformat JSON diunduh dan dikonsumsi secara langsung. Arkime menyimpan dan mengekspor semua paket dalam format PCAP standar, memungkinkan Anda juga menggunakan alat konsekuensi PCAP favorit Anda, seperti Wireshark, selama alur kerja analisis Anda.

Arkime dibangun untuk digunakan di banyak sistem dan dapat skala untuk menangani puluhan gigabit/detik lalu lintas. Retensi PCAP didasarkan pada ruang disk sensor yang tersedia. Retensi metadata didasarkan pada skala kluster Elasticsearch. Keduanya dapat ditingkatkan kapan saja dan berada di bawah kendali penuh Anda.

Pelajari lebih lanjut di Arkime.com

• Latar belakang
• Instalasi
• Konfigurasi
• Penggunaan
• Keamanan
• API
• Menyumbang
• Lisensi

Arkime, yang sebelumnya bernama Moloch, diciptakan untuk menggantikan sistem paket lengkap komersial di AOL pada tahun 2012. Dengan memiliki kendali penuh atas perangkat keras dan biaya, kami menemukan bahwa kami dapat menggunakan penangkapan paket lengkap di semua jaringan kami dengan biaya yang sama dengan hanya satu jaringan menggunakan alat komersial, dengan retensi yang lebih besar.

Sistem Arkime terdiri dari 3 komponen utama:

• CAPTURE - Aplikasi C berulir yang memantau lalu lintas jaringan, menulis file yang diformat oleh PCAP ke disk lokal, mem -parsing paket yang ditangkap, dan mengirimkan metadata (data SPI) ke OpenSearch/Elasticsearch.
• Penampil - Aplikasi Node.js yang berjalan per mesin penangkapan. Ini menangani antarmuka web dan transfer paket ke browser.
• OpenSearch/Elasticsearch - Teknologi Database Pencarian Powering Arkime.

Kami juga menyediakan beberapa aplikasi opsional:

• Cont3xt - Aplikasi yang memberikan pendekatan terstruktur untuk mengumpulkan kecerdasan kontekstual dalam mendukung investigasi teknis.
• Esproxy - Proxy yang memberikan keamanan ekstra antara Capture dan OpenSearch/Elasticsearch.
• Parlemen - Aplikasi yang memantau dan merupakan pintu depan untuk beberapa kelompok Arkime.
• WiseService - Aplikasi yang mengintegrasikan intelijen ancaman ke dalam metadata sesi.

Arkime menawarkan antarmuka web yang ramah pengguna untuk mengeksplorasi data jaringan. Halaman Sesi memberikan gambaran umum yang komprehensif, mencantumkan sesi individual yang dapat diperluas untuk melihat metadata dan detail paket.

Halaman Tampilan SPI menawarkan rincian data terperinci, menampilkan semua nilai unik untuk setiap bidang yang dikenali oleh Arkime

Sebagian besar pengguna harus menggunakan biner prebuilt yang tersedia di halaman unduhan kami dan ikuti instruksi instalasi sederhana.

Untuk pengguna tingkat lanjut, Anda dapat membangun Arkime sendiri:

• Pastikan node ada di jalur Anda, saat ini Dukungan Utama Node Versi 20.x
• git clone https://github.com/arkime/arkime - versi terbaru di github
• ./easybutton-build.sh --install -Unduh semua prasyarat, build, dan instal Arkime
• make config - Melakukan Konfigurasi Arkime Awal
• Lihat file contributing.md untuk informasi tentang cara terlibat

Sebagian besar konfigurasi sistem terletak di file /opt/arkime/etc/config.ini . Variabel didokumentasikan di halaman Pengaturan kami.

Setelah Arkime berjalan, arahkan browser Anda ke http: // localhost: 8005 untuk mengakses antarmuka web. Klik Burung Hantu untuk mencapai halaman Bantuan Arkime.

Akses ke Arkime dilindungi dengan menggunakan HTTPS dengan kata sandi Digest atau dengan menggunakan otentikasi yang menyediakan proxy server web. Semua PCAP disimpan pada sensor dan hanya diakses menggunakan antarmuka Arkime atau API. Arkime tidak dimaksudkan untuk mengganti IDS tetapi bekerja di samping mereka untuk menyimpan dan mengindeks semua lalu lintas jaringan dalam format PCAP standar, memberikan akses cepat.

• Arkime dapat dikonfigurasi untuk menggunakan kunci pengguna OpenSearch/Elasticsearch atau kunci API.

• Mesin Arkime harus dikunci, namun mereka perlu berbicara satu sama lain (port 8005), ke mesin Elasticsearch (port 9200-920x), dan antarmuka web harus terbuka (port 8005).

• viewer Arkime harus dikonfigurasi untuk menggunakan TLS.

  • Paling mudah menggunakan sertifikat tunggal dengan beberapa DNS atau wildcard.
  • Pastikan Anda melindungi sertifikat sistem file dengan izin file yang tepat.
  • Edit Pengaturan Certfile dan KeyFile di /opt/arkime/etc/config.ini.ini untuk mengaktifkan.

• Untuk penyebaran besar, dimungkinkan untuk mengatur viewer Arkime pada mesin pusat yang tidak menangkap data apa pun, sebaliknya mesin gateway semua permintaan UI.

  • Menggunakan proxy terbalik (Caddy, Apache, ...) dapat menangani otentikasi dan meneruskan nama pengguna ke Arkime, ini adalah cara kami menggunakannya.

• Kata sandi bersama yang disimpan dalam file konfigurasi Arkime digunakan untuk mengenkripsi hash kata sandi dan untuk komunikasi antar-arark.

  • Pastikan Anda melindungi file konfigurasi pada sistem file dengan izin file yang tepat.
  • Hash kata sandi terenkripsi digunakan sehingga hash kata sandi baru tidak dapat dimasukkan ke dalam OpenSearch/Elasticsearch secara langsung jika belum diamankan.

Anda dapat mempelajari lebih lanjut tentang API Arkime di halaman API kami.

Silakan merujuk ke file contributing.md untuk informasi tentang cara terlibat. Kami menyambut masalah, permintaan fitur, permintaan tarik, dan pembaruan dokumentasi di GitHub. Untuk pertanyaan tentang menggunakan dan memecahkan masalah Arkime, silakan gunakan saluran Slack.

Cara terbaik untuk menghubungi kami adalah Slack. Silakan minta undangan untuk bergabung dengan ruang kerja Arkime Slack di sini.

Proyek ini dilisensikan berdasarkan ketentuan lisensi open source Apache 2.0. Silakan merujuk ke lisensi untuk persyaratan lengkap.