arkime

O Arkime é um sistema de análise de rede e pacotes em larga escala e de código aberto.

O Arkime aumenta sua infraestrutura de segurança atual para armazenar e indexar tráfego de rede no formato PCAP padrão, fornecendo acesso rápido e indexado. Uma interface da Web intuitiva e simples é fornecida para navegação no PCAP, pesquisa e exportação. O Arkime expõe APIs que permitem que os dados do PCAP e os dados da sessão formatada JSON sejam baixados e consumidos diretamente. Arkime armazena e exporta todos os pacotes no formato PCAP padrão, permitindo que você também use suas ferramentas de ingestão de PCAP favoritas, como o Wireshark, durante o seu fluxo de trabalho de análise.

O Arkime é construído para ser implantado em muitos sistemas e pode escalar para lidar com dezenas de gigabits/s de tráfego. A retenção de PCAP é baseada no espaço do disco do sensor disponível. A retenção de metadados é baseada na escala de cluster Elasticsearch. Ambos podem ser aumentados a qualquer momento e estão sob seu controle completo.

Saiba mais no Arkime.com

• Fundo
• Instalação
• Configuração
• Uso
• Segurança
• API
• Contribuir
• Licença

Arkime, anteriormente chamado Moloch, foi criado para substituir os sistemas comerciais de pacotes completos na AOL em 2012. Ao ter controle completo de hardware e custos, descobrimos que poderíamos implantar captura completa de pacotes em todas as nossas redes pelo mesmo custo que apenas uma rede usando uma ferramenta comercial, com maior retenção.

O sistema Arkime é composto por 3 componentes principais:

• Capture - Um aplicativo C roscado que monitora o tráfego de rede, grava arquivos formatados do PCAP no disco local, analisa os pacotes capturados e envia metadados (dados SPI) para openEarch/Elasticsearch.
• Visualizador - um aplicativo Node.js que executa a máquina de captura por captura. Ele lida com a interface da web e a transferência de pacotes para o navegador.
• Opensearch/Elasticsearch - A tecnologia de banco de dados de pesquisa alimentando Arkime.

Também fornecemos vários aplicativos opcionais:

• CONT3XT - Um aplicativo que fornece uma abordagem estruturada para reunir inteligência contextual em apoio a investigações técnicas.
• Esproxy - um proxy que fornece segurança extra entre Capture e OpenSearch/Elasticsearch.
• Parlamento - Uma aplicação que monitora e é uma porta da frente para vários aglomerados de Arkime.
• Wiseservice - um aplicativo que integra a inteligência de ameaças nos metadados da sessão.

A Arkime oferece uma interface da Web fácil de usar para explorar dados de rede. A página Sessions fornece uma visão geral abrangente, listando sessões individuais que podem ser expandidas para visualizar metadados e detalhes de pacotes.

A página de visualização do SPI oferece uma quebra detalhada de dados, exibindo todos os valores exclusivos para cada campo reconhecido pela Arkime

A maioria dos usuários deve usar os binários pré -construídos disponíveis em nossa página de downloads e seguir as instruções simples de instalação.

Para usuários avançados, você pode construir o Arkime:

• Verifique se node está no seu caminho, atualmente o principal suporta o nó versão 20.x
• git clone https://github.com/arkime/arkime - versão mais recente no github
• ./easybutton-build.sh --install -baixar todos os pré -requisitos, construir e instalar Arkime
• make config - Executa uma configuração de Arkime inicial
• Consulte o arquivo contribuinte.md para obter informações sobre como se envolver

A maior parte da configuração do sistema está localizada no arquivo /opt/arkime/etc/config.ini . As variáveis ​​estão documentadas em nossa página Configurações.

Quando o Arkime estiver em execução, aponte seu navegador para http: // localhost: 8005 para acessar a interface da web. Clique na coruja para alcançar a página de ajuda do Arkime.

O acesso ao Arkime é protegido usando HTTPS com senhas Digest ou usando uma autenticação que fornece proxy do servidor da web. Todos os PCAPs são armazenados nos sensores e são acessados ​​apenas usando a interface Arkime ou API. O Arkime não pretende substituir um IDS, mas trabalha ao lado deles para armazenar e indexar todo o tráfego de rede no formato PCAP padrão, fornecendo acesso rápido.

• O Arkime pode ser configurado para usar as teclas OpenSearch/Elasticsearch User Auth ou API.

• As máquinas de Arkime devem ser trancadas, no entanto, precisam conversar umas com as outras (porta 8005), com as máquinas Elasticsearch (Portas 9200-920x) e a interface da web precisa estar aberta (porta 8005).

• viewer de Arkime deve ser configurado para usar o TLS.

  • É mais fácil usar um único certificado com vários DNs ou um curinga.
  • Certifique -se de proteger o certificado no sistema de arquivos com permissões de arquivo adequadas.
  • Edite as configurações Certfile e KeyFile em /opt/arkime/etc/config.ini.ini para ativar.

• Para grandes implantações, é possível configurar um viewer Arkime em uma máquina central que não captura nenhum dado, em vez dos gateways da máquina todas as solicitações de interface do usuário.

  • Usando um proxy reverso (Caddy, Apache, ...) pode lidar com a autenticação e passar o nome de usuário para Arkime, é assim que a implantamos.

• Uma senha compartilhada armazenada no arquivo de configuração do Arkime é usada para criptografar hashes de senha e para comunicação inter-emite.

  • Certifique -se de proteger o arquivo de configuração no sistema de arquivos com as permissões de arquivo adequadas.
  • Os hashes de senha criptografados são usados ​​para que um novo hash de senha não possa ser inserido no OpenSearch/Elasticsearch diretamente, caso não tenha sido protegido.

Você pode aprender mais sobre a API Arkime em nossa página da API.

Consulte o arquivo contribuinte.md para obter informações sobre como se envolver. Congratulamo -nos com questões, solicitações de recursos, solicitações de tração e atualizações de documentação no GitHub. Para perguntas sobre o uso e a solução de problemas do Arkime, use os canais Slack.

A melhor maneira de nos alcançar é o Slack. Solicite um convite para participar do espaço de trabalho do Arkime Slack aqui.

Este projeto está licenciado nos termos da licença de código aberto Apache 2.0. Consulte a licença para os termos completos.