capturés avec pcap sont transférés vers un moteur d’événements qui les accepte ou les rejette. Les paquets acceptés sont transmis à l’interpréteur de script de stratégie.
Le moteur d’événements analyse le trafic réseau en direct ou enregistré ou les fichiers de trace pour générer des événements neutres. Il génère des événements lorsque « quelque chose » se produit. Cela peut être déclenché par le processus Zeek, par exemple juste après l’initialisation ou juste avant la fin du processus Zeek, ainsi que par quelque chose qui se passe sur le réseau (ou le fichier de trace) en cours d’analyse, comme Zeek témoin d’une requête HTTP ou d’une nouvelle connexion TCP. Zeek utilise des ports communs et une détection de protocole dynamique (impliquant des signatures ainsi qu’une analyse comportementale) pour mieux interpréter les protocoles réseau. Les événements sont neutres sur le plan politique en ce sens qu’ils ne sont ni bons ni mauvais, mais indiquent simplement à script land que quelque chose s’est passé.
Les événements sont gérés par des scripts de stratégie, qui analysent les événements pour créer des stratégies d’action. Les scripts sont écrits dans le langage de script Turing complete Zeek. Par défaut, Zeek enregistre simplement des informations sur les événements dans des fichiers (Zeek prend également en charge la journalisation des événements en sortie binaire) ; cependant, il peut être configuré pour effectuer d’autres actions telles que l’envoi d’un e-mail, le déclenchement d’une alerte, l’exécution d’une commande système, la mise à jour d’une métrique interne et même l’appel d’un autre script Zeek. Le comportement par défaut produit une sortie de type NetFlow (journal conn) ainsi que des informations sur les événements d’application. Les scripts Zeek sont capables de lire des données provenant de fichiers externes, tels que des listes noires, pour une utilisation dans les scripts de stratégie Zeek.
Zeek analyzersEdit
La plupart des analyseurs Zeek sont situés dans le moteur d’événements de Zeek avec un script de stratégie d’accompagnement. Le script de stratégie peut être personnalisé par l’utilisateur. Les analyseurs effectuent un décodage de couche d’application, une détection d’anomalie, une correspondance de signature et une analyse de connexion. Zeek a été conçu pour intégrer facilement des analyseurs supplémentaires. Certains analyseurs de couche d’application inclus avec Zeek sont HTTP, FTP, SMTP et DNS, entre autres. D’autres analyseurs de couche non applicative comprennent des analyseurs qui détectent les analyses d’hôtes ou de ports, les hôtes intermédiaires et les syn-floods. Zeek inclut également la détection de signature et permet l’importation de signatures Snort.