arkime

Arkime-это крупномасштабный сетевой анализ с открытым исходным кодом и систему захвата пакетов.

Arkime расширяет вашу текущую инфраструктуру безопасности для хранения и индекса сетевого трафика в стандартном формате PCAP, обеспечивая быстрый, индексированный доступ. Интуитивно понятный и простой веб -интерфейс предусмотрен для просмотра, поиска и экспорта PCAP. ARKIME разоблачает API, которые позволяют загружать и потреблять данные с форматированным сеансом JSON. Arkime хранит и экспортирует все пакеты в стандартном формате PCAP, что позволяет также использовать ваши любимые инструменты для приема PCAP, такие как Wireshark, во время вашего анализа рабочего процесса.

Arkime создан для развертывания во многих системах и может масштабироваться для обработки десятков гигабит/секунды трафика. Удержание PCAP основано на доступном диссорном диске. Удержание метаданных основано на шкале кластеров Elasticsearch. Оба могут быть увеличены в любое время и находятся под вашим полным контролем.

Узнайте больше на arkime.com

• Фон
• Установка
• Конфигурация
• Использование
• Безопасность
• API
• Способствовать
• Лицензия

Arkime, ранее названный Moloch, был создан для замены коммерческих полных пакетных систем в AOL в 2012 году. Имея полный контроль над оборудованием и затратами, мы обнаружили, что можем развернуть полный захват пакетов во всех наших сетях за ту же затраты, что и только одна сеть, используя коммерческий инструмент, с большим удержанием.

Аркимская система состоит из 3 основных компонентов:

• Capture - приложение C резьбе C, которое контролирует сетевой трафик, записывает форматированные файлы PCAP на локальный диск, анализирует захваченные пакеты и отправляет метаданные (данные SPI) в OpenSearch/Elasticsearch.
• Viewer - приложение Node.js, которое запускает машину для захватки. Он обрабатывает веб -интерфейс и передачу пакетов в браузер.
• OpenSearch/Elasticsearch - Поисковая база данных Technology Powering Arkime.

Мы также предоставляем несколько дополнительных приложений:

• Cont3xt - приложение, которое обеспечивает структурированный подход к сбору контекстуального интеллекта в поддержку технических исследований.
• Esproxy - прокси, который обеспечивает дополнительную безопасность между захватом и Opensearch/Elasticsearch.
• Парламент - заявление, которое отслеживает и является входной дверью к нескольким кластерам Arkime.
• Wisservice - приложение, которое объединяет интеллект угроз в метаданные сессии.

Arkime предлагает удобный веб-интерфейс для изучения сетевых данных. На странице Sessions представлен полный обзор, перечисляющий отдельные сеансы, которые можно расширить для просмотра метаданных и данных пакетов.

Страница просмотра SPI предлагает подробную разбивку данных, отображая все уникальные значения для каждого поля, расположенного Arkime

Большинство пользователей должны использовать предварительно построенные двоичные файлы, доступные на нашей странице загрузки и следовать простым инструкциям по установке.

Для продвинутых пользователей вы можете создать Arkime самостоятельно:

• Убедитесь, что node находится на вашем пути, в настоящее время основной поддержка узла версия 20.x
• git clone https://github.com/arkime/arkime - Последняя версия на Github
• ./easybutton-build.sh --install -Загружает все предпосылки, строить и установить arkime
• make config - выполняет начальную конфигурацию Arkime
• Обратитесь к файлу Anforming.md для получения информации о том, как принять участие

Большая часть конфигурации системы находится в файле /opt/arkime/etc/config.ini . Переменные задокументированы на нашей странице настроек.

Как только Arkime работает, укажите свой браузер на http: // localhost: 8005, чтобы получить доступ к веб -интерфейсу. Нажмите на сову, чтобы добраться до страницы справки Arkime.

Доступ к Arkime защищен с помощью HTTPS с паролями Digest или с помощью аутентификации, обеспечивающей прокси -сервер веб -сервера. Все PCAP хранятся на датчиках и доступны только с помощью интерфейса Arkime или API. Arkime не предназначен для замены идентификаторов, но вместо этого работают вместе с ними, чтобы сохранить и индексировать весь сетевой трафик в стандартном формате PCAP, обеспечивая быстрый доступ.

• Arkime может быть настроен на использование пользователя OpenSearch/Elasticsearch Auth или API -клавиш.

• Аркимские машины должны быть заблокированы, однако им нужно поговорить друг с другом (порт 8005), с машинами Elasticsearch (порты 9200-920x), и веб-интерфейс должен быть открыт (порт 8005).

• Arkime viewer должен быть настроен на использование TLS.

  • Легче всего использовать один сертификат с несколькими DNS или подстановочным знаком.
  • Убедитесь, что вы защищаете сертификат в файловой системе с надлежащими разрешениями файлов.
  • Редактировать настройки CertFile и KeyFile в /opt/arkime/etc/config.ini.ini для включения.

• Для крупных развертываний можно настроить Arkime viewer на центральной машине, которая не собирает никаких данных, вместо этого шлюзы машины все запросы пользовательского интерфейса.

  • Использование обратного прокси (Caddy, Apache, ...) может обрабатывать аутентификацию и передавать имя пользователя в Arkime, вот как мы его развертывают.

• Общий пароль, хранящийся в файле конфигурации ARKIME, используется для шифрования хэшей пароля и для межпольной связи.

  • Убедитесь, что вы защищаете файл конфигурации в файловой системе с правильными разрешениями файлов.
  • Используются зашифрованные хэши паролей, поэтому новый хэш пароля не может быть вставлен в OpenSearch/Elasticsearch напрямую, если он не будет защищен.

Вы можете узнать больше о ARKIME API на нашей странице API.

Пожалуйста, обратитесь к файлу Anforming.md для получения информации о том, как принять участие. Мы приветствуем проблемы, запросы функций, запросы на вытягивание и обновления документации в GitHub. Для вопросов об использовании и устранении неполадок Arkime, пожалуйста, используйте каналы Slack.

Лучший способ добраться до нас - это Slack. Пожалуйста, запросите приглашение присоединиться к рабочему пространству Arkime Slack здесь.

Этот проект лицензирован в соответствии с условиями лицензии Apache 2.0 с открытым исходным кодом. Пожалуйста, обратитесь к лицензии на полные условия.