Mit pcap erfasste IP-Pakete werden an eine Event-Engine übertragen, die sie akzeptiert oder ablehnt. Die akzeptierten Pakete werden an den Richtlinienskript-Interpreter weitergeleitet.
Die Event Engine analysiert Live- oder aufgezeichneten Netzwerkverkehr oder Trace-Dateien, um neutrale Ereignisse zu generieren. Es erzeugt Ereignisse, wenn „etwas“ passiert. Dies kann durch den Zeek-Prozess ausgelöst werden, z. B. kurz nach der Initialisierung oder kurz vor dem Beenden des Zeek-Prozesses, sowie durch etwas, das im Netzwerk (oder in der Trace-Datei) stattfindet, das analysiert wird, z. B. Zeek Zeuge einer HTTP-Anforderung oder einer neuen TCP-Verbindung. Zeek verwendet gemeinsame Ports und dynamische Protokollerkennung (mit Signaturen sowie Verhaltensanalyse), um eine beste Vermutung bei der Interpretation von Netzwerkprotokollen zu machen. Ereignisse sind insofern politikneutral, als sie nicht gut oder schlecht sind, sondern lediglich dem Land signalisieren, dass etwas passiert ist.
Ereignisse werden von Richtlinienskripten behandelt, die Ereignisse analysieren, um Aktionsrichtlinien zu erstellen. Die Skripte sind in der Skriptsprache Turing Complete Zeek geschrieben. Standardmäßig protokolliert Zeek einfach Informationen über Ereignisse in Dateien (Zeek unterstützt auch die Protokollierung von Ereignissen in binärer Ausgabe); Es kann jedoch so konfiguriert werden, dass andere Aktionen ausgeführt werden, z. B. das Senden einer E-Mail, das Auslösen einer Warnung, das Ausführen eines Systembefehls, das Aktualisieren einer internen Metrik und sogar das Aufrufen eines anderen Zeek-Skripts. Das Standardverhalten erzeugt eine NetFlow-ähnliche Ausgabe (conn log) sowie Informationen zu Anwendungsereignissen. Zeek-Skripte können Daten aus externen Dateien wie Blacklists einlesen, um sie in Zeek-Richtlinienskripten zu verwenden.
Zeek analyzersEdit
Die meisten Zeek-Analysatoren befinden sich in Zeeks Event Engine mit einem zugehörigen Richtlinienskript. Das Richtlinienskript kann vom Benutzer angepasst werden. Die Analysatoren führen Anwendungsschichtdecodierung, Anomalieerkennung, Signaturabgleich und Verbindungsanalyse durch. Zeek wurde entwickelt, um zusätzliche Analysatoren einfach zu integrieren. Einige in Zeek enthaltene Anwendungsschichtanalysatoren sind unter anderem HTTP, FTP, SMTP und DNS. Andere Nicht-Anwendungsschicht-Analysatoren umfassen Analysatoren, die Host- oder Port-Scans, intermediäre Hosts und Syn-Floods erkennen. Zeek beinhaltet auch die Signaturerkennung und ermöglicht den Import von Snort-Signaturen.