Arkime 5.0 llega con búsqueda masiva de Cont3xt, compatibilidad con JA4 y más
Hace pocos días se dio a conocer el lanzamiento de la nueva versión de Arkime 5.0, la cual llega con una de las características más esperadas, la cual es la búsqueda masiva de Cont3xt, asi como también unificación del subsistema de configuración, nuevas configuraciones y más.
Para quienes desconocen de Arkime, deben saber que esta es una herramienta de captura de paquetes y análisis de red de código abierto, cuenta con herramientas para evaluar visualmente los flujos de tráfico y buscar información relacionada con la actividad de la red.
Arkime se destaca por capturar e indexar el tráfico en formato PCAP, con herramientas para un acceso rápido a los datos indexados. La adopción del estándar PCAP facilita su integración con analizadores de tráfico existentes como Wireshark. La cantidad de datos almacenados está limitada solo por el tamaño disponible de la matriz de discos. Los metadatos de sesión se indexan en un clúster basado en el motor Elasticsearch u OpenSearch.
El componente de captura de tráfico opera en modo multiproceso y aborda tareas como monitoreo, escritura de volcados de PCAP en disco, análisis de paquetes capturados y envío de metadatos sobre sesiones y protocolos al clúster Elasticsearch/OpenSearch. Además, ofrece la posibilidad de almacenar archivos PCAP en forma cifrada.
¿Qué hay de nuevo en Arkime 5.0?
En esta nueva actualización que se presenta de Arkime 5.0 se destaca la introduccion de la búsqueda masiva de Cont3xt, la cual permite recopilar información disponible en múltiples indicadores simultáneamente con una sola consulta, lo que agiliza significativamente el proceso de análisis de datos.
Otro de los cambios que se destaca de la nueva versión, es que la interfaz de usuario de Arkime ha sido renovada, pues ahora la sección de detalles de la sesión ha sido rediseñada para optimizar el espacio en pantalla y se han agregado menús desplegables de múltiples visualizadores en las pestañas lo que facilita la navegación y la búsqueda de información.
Además de ello, Arkime 5.0 introduce soporte para los métodos de huellas dactilares de tráfico JA4 y JA4+, que se muestra como nuevos campos de sesión para visualización y búsqueda para identificar protocolos y aplicaciones de red. El soporte se puede añadir mediante un complemento fácil de instalar.
Otra mejora significativa en Arkime 5.0 es la unificación del subsistema de configuración en todas las aplicaciones, ya que ahora se han trasladado a un subsistema de configuración que admite el procesamiento de configuraciones en diferentes formatos. Esto permite la compatibilidad con múltiples formatos de archivos de configuración y facilita la recuperación desde fuentes de disco y de red. Además, puede cargar configuraciones desde diversas fuentes, como el disco, a través de la red mediante HTTPS o desde OpenSearch/Elasticsearch.
De los demás cambios que se destacan:
- La capacidad para importar volcados de PCAP sin conexión directamente desde varias fuentes de red, como S3 y HTTP(S), es otra característica destacada de esta versión.
- Se incluye una serie de correcciones de errores y optimizaciones, como la actualización de zstd, nghttp2, maxmind y yara, entre otros.
- El sistema de autorización se ha unificado y separado en un módulo independiente
- Se han añadido nuevos modos de autorización, incluidos básico, formulario, básico+formulario, básico+oidc, headerOnly, encabezado+digest y encabezado+básico.
- Se eliminó el modo de solo panel.
- zstd a veces no leía todos los paquetes
- visualización detallada de la sesión mejorada
- enlace de detalle de sesión a un enlace ahora, elementos de columna de información de selección múltiple ahora
- nuevos viewRoles en el archivo de configuración por integración para controlar el acceso
- transferir la propiedad de los recursos
- nueva fuente de datos csv/json compatible
- soporte para nueva fuente de datos de redis
- modo de demostración agregado
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Descargar y obtener Arkime 5.0
Para los interesados en la nueva versión, deben saber que pueden obtener los paquetes precompilados RPM y DEB para distribuciones con soporte para este tipo de paquetes. Los paquetes los puedes obtener en el siguiente enlace.