Видимость на уровне сессий: Zeek разбирает 70+ протоколов, Malcolm превращает данные в расследование.
«Хороший NDR не ищет известные сигнатуры — он понимает поведение. Zeek + Malcolm знают, что происходит в вашей сети, даже если угроза ещё не имеет имени.»
Zeek (ранее Bro) — это не IDS в традиционном понимании. Это сетевой анализатор, который разбирает трафик на уровне протоколов и генерирует структурированные логи: кто с кем общался, какой протокол, какие файлы передавались, какие сертификаты использовались. 70+ поддерживаемых протоколов, скриптовый DSL для кастомной логики, ZeroMQ-кластеризация для горизонтального масштабирования — Zeek видит то, что сигнатурный IDS пропускает.
Malcolm — это оркестрационная платформа для сетевого анализа, разработанная CISA (Агентство кибербезопасности США) совместно с Idaho National Laboratory. Malcolm объединяет Zeek, Suricata и Arkime в единый интерфейс на базе OpenSearch. Это не просто «ещё одна SIEM» — это полноценное расследовательское окружение: временная шкала, поиск по любому полю лога, корреляция событий Zeek с алертами Suricata.
В стеке IgNix Malcolm разворачивается как центральная платформа сетевой видимости. Отдельный сенсор Hedgehog Linux устанавливается на SPAN-порт коммутатора или виртуальный интерфейс и отправляет данные в Malcolm. YARA, ClamAV и Capa анализируют файлы, извлечённые из трафика — обнаружение малвари прямо в сетевом потоке. Поддержка ICS/OT протоколов (Modbus, DNP3, BACnet) делает Malcolm незаменимым для промышленных сетей.
Килл-фичи:
Zeek DSL — кастомные скрипты для анализа специфических протоколов и поведенческих аномалий без vendor lock-in
70+ протоколов — HTTP, DNS, TLS, SMTP, SMB, Kerberos, Redis, QUIC, SNMPv3 и десятки других из коробки
ZeroMQ-кластер Zeek 8.1 — горизонтальное масштабирование с двузначным приростом CPU-эффективности
Malcolm: Zeek + Suricata + Arkime — единая платформа расследований без склейки разрозненных инструментов вручную
Hedgehog Linux сенсор — готовый к развёртыванию сенсор для SPAN/TAP без настройки с нуля
ICS/OT протоколы — Modbus, DNP3, BACnet, EtherNet/IP для анализа промышленных сетей и АСУ ТП
YARA + ClamAV + Capa — анализ файлов из трафика: детектирование малвари, классификация возможностей PE-файлов
Что заменяет: Darktrace (NDR), ExtraHop, Cisco Stealthwatch, Vectra AI, дорогие NPMD-решения
Версия: Zeek 8.1 / Malcolm 25.08.1
Роль в стеке: Слой 5 — Безопасность / Сетевой анализ и NDR