Zeek - Monitor de Seguridad de Red

Relacionado: FOCA. Herramientas. seguridad web y auditoria. 12 Introduccion a la Criptografiaseguridad. 2025 03 27 charla seguridad APIs OAUTH20.

Alternativas: Snort y Suricata (basados en firmas). Zeek se enfoca en análisis de protocolo y generación de logs detallados. Ver Splunk para correlación de logs.

INSTALACIÓN

Hacemos una descarga del repositorio de Git de Zeek:
git clone --recursive https://github.com/zeek/zeek
La opción --recursive es para que instale todos los submódulos.

Accedo al subdirectorio:
cd zeek
Ejecuto ./configure y luego make para poder compilar el programa e instalarlo.

En mi caso, me ha dado error al hacer el ./configure, dando el siguiente error:

Para arreglarlo, comprobamos si tenemos instalado swig, que funciona como un compilador cruzado para comunicar diferentes lenguajes. En el caso de que lo tengamos instalado y salga este error, actualizamos swig haciendo un sudo apt-get upgrade swig. Si no lo tenemos, ejecutamos:
sudo apt-get install swig.

Hacemos un make y luego:
sudo make install.

Una vez instalado:
Ejecutamos el siguiente comando:
/usr/local/zeek/bin/zeek -v
y nos muestra la versión.

Le decimos qué interfaz de red usar:

Ejecutamos el siguiente comando para que instale la configuración y arranque el servicio:

Si nos metemos en el fichero de los logs, podemos ver que funciona correctamente:

Ahora procederemos a crear un script para que recoja el tráfico de forma personalizada. Los scripts se crean en el siguiente directorio:
/usr/local/zeek/share/zeek/site/

Creamos el siguiente:

Lo hemos llamado de la siguiente forma: