arkime

Arkime은 대규모 오픈 소스 네트워크 분석 및 패킷 캡처 시스템입니다.

Arkime은 현재 보안 인프라를 표준 PCAP 형식으로 저장하고 인덱싱하여 빠른 색인 액세스를 제공합니다. PCAP 브라우징, 검색 및 내보내기에는 직관적이고 간단한 웹 인터페이스가 제공됩니다. Arkime은 PCAP 데이터와 JSON 형식의 세션 데이터를 직접 다운로드하고 소비 할 수있는 API를 노출시킵니다. Arkime은 모든 패킷을 표준 PCAP 형식으로 저장하고 내보내므로 분석 워크 플로우 동안 Wireshark와 같은 좋아하는 PCAP 섭취 도구를 사용할 수 있습니다.

Arkime은 많은 시스템에 걸쳐 배치되도록 제작되었으며 수십 기가 비트/SEC 트래픽을 처리하기 위해 확장 할 수 있습니다. PCAP 보유는 사용 가능한 센서 디스크 공간을 기반으로합니다. 메타 데이터 유지는 Elasticsearch 클러스터 척도를 기반으로합니다. 둘 다 언제든지 증가 할 수 있으며 완전히 통제 할 수 있습니다.

arkime.com에서 자세히 알아보십시오

• 배경
• 설치
• 구성
• 용법
• 보안
• API
• 기여하다
• 특허

이전에 Moloch라는 ARKIME은 2012 년 AOL에서 상용 전체 패킷 시스템을 대체하기 위해 만들어졌습니다. 하드웨어 및 비용을 완전히 제어함으로써 모든 네트워크에 전체 패킷 캡처를 배포하여 상용 도구를 사용하여 하나의 네트워크와 동일한 비용으로 더 큰 보유를 제공 할 수 있습니다.

Arkime 시스템은 3 가지 주요 구성 요소로 구성됩니다.

• Capture- 네트워크 트래픽을 모니터링하고 PCAP 형식의 파일을 로컬 디스크에 작성하고 캡처 된 패킷을 구문 분석하고 메타 데이터 (SPI Data)를 보내서 OpenSearch/Elasticsearch를 보내십시오.
• Viewer- 캡처 시스템을 실행하는 node.js 응용 프로그램. 웹 인터페이스를 처리하고 패킷을 브라우저로 전송합니다.
• OpenSearch/Elasticsearch- 검색 데이터베이스 기술 파워 arkime.

우리는 또한 몇 가지 선택적 응용 프로그램을 제공합니다.

• Cont3XT- 기술 조사를 지원하기 위해 상황에 맞는 정보를 수집하기위한 구조화 된 접근 방식을 제공하는 응용 프로그램.
• Esproxy- 캡처와 OpenSearch/Elasticsearch 사이에 추가 보안을 제공하는 프록시.
• 의회 - 여러 Arkime 클러스터의 정문 인 신청서.
• WISESERVICE- 위협 지능을 세션 메타 데이터에 통합하는 응용 프로그램.

Arkime은 네트워크 데이터를 탐색하기위한 사용자 친화적 인 웹 인터페이스를 제공합니다. 세션 페이지는 메타 데이터 및 패킷 세부 사항을 볼 수 있도록 확장 할 수있는 개별 세션을 나열하는 포괄적 인 개요를 제공합니다.

SPI View 페이지는 Arkime에서 인식 한 각 필드에 대한 모든 고유 한 값을 표시하는 자세한 데이터를 제공합니다.

대부분의 사용자는 다운로드 페이지에서 사용할 수있는 미리 빌드 바이너리를 사용하고 간단한 설치 지침을 따라야합니다.

고급 사용자의 경우 직접 Arkime을 구축 할 수 있습니다.

• node 경로에 있는지 확인하십시오. 현재 메인은 노드 버전 20.x를 지원합니다.
• git clone https://github.com/arkime/arkime github의 최신 버전
• ./easybutton-build.sh --install -모든 전제 조건을 다운로드하고, 빌드 및 설치합니다.
• make config - 초기 Arkime 구성을 수행합니다
• 참여 방법에 대한 정보는 Contributing.md 파일을 참조하십시오.

대부분의 시스템 구성은 /opt/arkime/etc/config.ini 파일에 있습니다. 변수는 설정 페이지에 문서화되어 있습니다.

Arkime이 실행되면 브라우저를 http : // localhost : 8005로 가리켜 웹 인터페이스에 액세스하십시오. Arkime 도움말 페이지에 도달하려면 올빼미를 클릭하십시오.

Arkime에 대한 액세스는 Digest 암호와 함께 HTTPS를 사용하거나 웹 서버 프록시를 제공하는 인증을 사용하여 보호됩니다. 모든 PCAP는 센서에 저장되며 Arkime 인터페이스 또는 API를 사용 하여만 액세스합니다. Arkime은 ID를 대체하는 것이 아니라 대신 ID와 함께 작업하여 모든 네트워크 트래픽을 표준 PCAP 형식으로 저장하고 인덱싱하여 빠른 액세스를 제공합니다.

• Arkime은 OpenSearch/Elasticsearch 사용자 인증 또는 API 키를 사용하도록 구성 할 수 있습니다.

• Arkime 기계는 잠겨 있어야하지만, 서로 대화해야하며 (포트 8005) Elasticsearch Machines (Ports 9200-920x)와 대화해야하며 웹 인터페이스를 열어야합니다 (포트 8005).

• Arkime viewer TLS를 사용하도록 구성해야합니다.

  • 여러 DN 또는 와일드 카드가있는 단일 인증서를 사용하는 것이 가장 쉽습니다.
  • 적절한 파일 권한으로 파일 시스템의 인증서를 보호하십시오.
  • 활성화하려면 /opt/arkime/etc/config.ini.ini 에서 certfile 및 keyfile 설정을 편집합니다.

• 대규모 배포의 경우 데이터를 캡처하지 않고 모든 UI가 요청하는 메신저 게이트웨이를 캡처하지 않는 중앙 시스템에서 Arkime viewer 설정할 수 있습니다.

  • 리버스 프록시 (Caddy, Apache, ...)를 사용하면 인증을 처리하고 사용자 이름을 Arkime으로 전달할 수 있습니다. 이것이 우리가 배포하는 방법입니다.

• Arkime 구성 파일에 저장된 공유 비밀번호는 암호 해시를 암호화하고 Arkime Inter-Akime 통신을 위해 사용됩니다.

  • 적절한 파일 권한으로 파일 시스템의 구성 파일을 보호하십시오.
  • 암호화 된 암호 해시가 사용되므로 새 비밀번호 해시를 확보되지 않은 경우 OpenSearch/ElasticSearch에 직접 삽입 할 수 없습니다.

API 페이지에서 Arkime API에 대해 자세히 알아볼 수 있습니다.

참여 방법에 대한 정보는 Contributing.md 파일을 참조하십시오. GitHub에서 문제, 기능 요청, 풀 요청 및 문서 업데이트를 환영합니다. Arkime 사용 및 문제 해결에 대한 질문은 슬랙 채널을 사용하십시오.

우리에게 다가가는 가장 좋은 방법은 슬랙입니다. 여기에서 Arkime Slack Workspace에 가입하도록 초대를 요청하십시오.

이 프로젝트는 Apache 2.0 오픈 소스 라이센스의 조건에 따라 라이센스가 부여됩니다. 전체 조건은 라이센스를 참조하십시오.