arkime

Arkimeは、大規模でオープンソースネットワーク分析とパケットキャプチャシステムです。

Arkimeは、現在のセキュリティインフラストラクチャを拡張して、標準のPCAP形式でネットワークトラフィックを保存およびインデックス化し、高速でインデックス付きアクセスを提供します。 PCAPブラウジング、検索、エクスポート用に直感的でシンプルなWebインターフェイスが提供されます。 Arkimeは、PCAPデータを可能にするAPIを公開し、JSONフォーマットされたセッションデータをダウンロードして直接消費します。 Arkimeは、すべてのパケットを標準のPCAP形式で保存およびエクスポートするため、分析ワークフロー中にWiresharkなどのお気に入りのPCAP摂取ツールを使用することもできます。

Arkimeは、多くのシステムに展開されるように構築されており、数十ギガビット/秒のトラフィックを処理するように拡張できます。 PCAP保持は、利用可能なセンサーディスクスペースに基づいています。メタデータ保持は、ElasticSearchクラスタースケールに基づいています。どちらもいつでも増加することができ、完全な管理下にあります。

詳細については、arkime.comをご覧ください

• 背景
• インストール
• 構成
• 使用法
• 安全
• API
• 貢献する
• ライセンス

以前はMolochと名付けられたArkimeは、2012年にAOLの商用フルパケットシステムを置き換えるために作成されました。ハードウェアとコストを完全に制御することにより、すべてのネットワークに完全なパケットキャプチャを展開して、市販のツールを使用して1つのネットワークと同じコストで展開できることがわかりました。

Arkimeシステムは、3つの主要なコンポーネントで構成されています。

• キャプチャ- ネットワークトラフィックを監視し、PCAPフォーマットファイルをローカルディスクに書き込み、キャプチャされたパケットを解析し、メタデータ（SPIデータ）をOpenSearch/ElasticSearchに送信するスレッドCアプリケーション。
• Viewer -Capture Machineごとに実行されるNode.jsアプリケーション。 Webインターフェイスとパケットのブラウザへの転送を処理します。
• OpenSearch/Elasticsearch- Arkimeを動力とする検索データベーステクノロジー。

また、いくつかのオプションのアプリケーションも提供しています。

• cont3xt-技術的調査をサポートするコンテキストインテリジェンスを収集するための構造化されたアプローチを提供するアプリケーション。
• Esproxy- CaptureとOpenSearch/Elasticsearchの間に追加のセキュリティを提供するプロキシ。
• 議会- 複数のArkimeクラスターへの玄関で監視し、玄関であるアプリケーション。
• WiseService-脅威インテリジェンスをセッションメタデータに統合するアプリケーション。

Arkimeは、ネットワークデータを探索するためのユーザーフレンドリーなWebインターフェイスを提供しています。セッションページには、メタデータとパケットの詳細を表示するために拡張できる個々のセッションを一覧表示する包括的な概要を提供します。

SPIビューページは、データの詳細な内訳を提供し、Arkimeによって認識された各フィールドのすべての一意の値を表示します

ほとんどのユーザーは、ダウンロードページで利用可能な事前に構築されたバイナリを使用し、簡単なインストール手順に従う必要があります。

上級ユーザーの場合、自分でArkimeを作成できます。

• nodeがあなたのパスにあることを確認してください、現在メインはノードバージョン20.xをサポートしています
• git clone https://github.com/arkime/arkime最新バージョンGithub
• ./easybutton-build.sh --install - すべての前提条件をダウンロードし、arkimeをビルドしてインストールします
• make config - 初期Arkime構成を実行します
• 関与する方法については、contributing.mdファイルを参照してください

システム構成のほとんどは/opt/arkime/etc/config.ini config.iniファイルにあります。変数は、設定ページに文書化されています。

Arkimeが実行されたら、ブラウザをhttp：// localhost：8005に指して、Webインターフェイスにアクセスします。フクロウをクリックして、Arkime Helpページに到達します。

Arkimeへのアクセスは、ダイジェストパスワードを使用してHTTPSを使用するか、Webサーバープロキシを提供する認証を使用することにより保護されます。すべてのPCAPはセンサーに保存され、ArkimeインターフェイスまたはAPIを使用してのみアクセスできます。 Arkimeは、IDを交換するためではなく、代わりに標準のPCAP形式ですべてのネットワークトラフィックを保存およびインデックス作成し、高速アクセスを提供するために作業します。

• Arkimeは、OpenSearch/ElasticSearchユーザー認証またはAPIキーを使用するように構成できます。

• Arkimeマシンはロックダウンする必要がありますが、互いに話し合う必要があり（ポート8005）、ElasticSearchマシン（ポート9200-920x）に対応する必要があり、Webインターフェイスを開く必要があります（ポート8005）。

• Arkime viewer 、TLSを使用するように構成する必要があります。

  • 複数のDNSまたはワイルドカードを備えた単一の証明書を使用するのが最も簡単です。
  • 適切なファイル権限を使用して、ファイルシステム上の証明書を保護してください。
  • certfileおよびkeyfileの設定を編集する/opt/arkime/etc/config.ini.iniを有効にします。

• 大規模な展開の場合、データをキャプチャしない中央マシンにArkime viewerをセットアップすることができます。

  • 逆プロキシ（Caddy、Apache、...）を使用すると、認証を処理し、ユーザー名をArkimeに渡すことができます。これが展開方法です。

• Arkime構成ファイルに保存されている共有パスワードは、パスワードのハッシュを暗号化するために使用されます。

  • 適切なファイル権限を使用して、ファイルシステム上の構成ファイルを保護してください。
  • 暗号化されたパスワードハッシュが使用されるため、新しいパスワードハッシュをOpenSearch/ElasticSearchに直接挿入できません。

ARKIME APIの詳細については、APIページをご覧ください。

関与する方法についての情報については、converting.mdファイルを参照してください。 githubでの問題、機能リクエスト、プルリクエスト、ドキュメントの更新を歓迎します。 Arkimeの使用とトラブルシューティングに関する質問については、Slackチャンネルを使用してください。

私たちに到達するための最良の方法は、Slackです。こちらのArkime Slack Workspaceに参加するよう招待状をリクエストしてください。

このプロジェクトは、Apache 2.0オープンソースライセンスの条件の下でライセンスされています。完全な条件については、ライセンスを参照してください。