Thiago Teixeira
EN | PT

Zeek

Zeek Project

Monitor de segurança de rede que transforma tráfego em logs de conexão ricos e estruturados.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source Plataforma / Suíte Em Estudo Linux
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O Zeek (antigo Bro) é um monitor de segurança de rede passivo. Diferente de Snort/Suricata (baseados em assinatura), o Zeek descreve o tráfego em logs semânticos profundos (conn.log, http.log, dns.log, ssl.log, files.log, x509.log, notice.log). Esses logs são ouro para threat hunting em SIEM.

Por que SOCs amam o Zeek:

  • Fingerprints JA3/JA3S/JARM nativos.
  • Extração de arquivos com reconhecimento MIME.
  • Scriptável em linguagem própria — detecções por comportamento.
  • Combina perfeitamente com Suricata (Security Onion, Corelight).

Casos de uso

  • Threat hunting em logs de conexão/protocolo
  • Detecção de tunneling DNS e beaconing
  • Pipelines de extração de arquivos para análise de malware
  • Baseline comportamental de longa retenção

Exemplo

# Run Zeek against a PCAP and inspect the connection log
zeek -r capture.pcap
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p service duration