I pacchetti IP catturati con pcap vengono trasferiti a un motore di eventi che li accetta o rifiuta. I pacchetti accettati vengono inoltrati all’interprete dello script dei criteri.
Il motore eventi analizza il traffico di rete in tempo reale o registrato o i file di traccia per generare eventi neutri. Genera eventi quando” qualcosa ” accade. Questo può essere attivato dal processo Zeek, ad esempio subito dopo l’inizializzazione o appena prima della fine del processo Zeek, così come da qualcosa che si svolge sulla rete (o file di traccia) in fase di analisi, come Zeek assistendo a una richiesta HTTP o una nuova connessione TCP. Zeek utilizza le porte comuni e il rilevamento dinamico del protocollo (che coinvolge le firme e l’analisi comportamentale) per fare un’ipotesi migliore nell’interpretazione dei protocolli di rete. Gli eventi sono neutrali dalla politica in quanto non sono buoni o cattivi, ma semplicemente segnalano alla terra dello script che è successo qualcosa.
Gli eventi sono gestiti da script di policy, che analizzano gli eventi per creare policy di azione. Gli script sono scritti nel linguaggio di scripting completo di Turing Zeek. Per impostazione predefinita Zeek registra semplicemente le informazioni sugli eventi nei file (Zeek supporta anche la registrazione degli eventi in output binario); tuttavia, può essere configurato per eseguire altre azioni come l’invio di un’e-mail, l’invio di un avviso, l’esecuzione di un comando di sistema, l’aggiornamento di una metrica interna e persino chiamare un altro script Zeek. Il comportamento predefinito produce un output simile a NetFlow (conn log) e informazioni sugli eventi dell’applicazione. Gli script Zeek sono in grado di leggere i dati da file esterni, come le liste nere, per l’uso all’interno degli script di policy Zeek.
Zeek analyzersEdit
La maggior parte degli analizzatori Zeek si trova nel motore di eventi di Zeek con uno script di policy di accompagnamento. Lo script dei criteri può essere personalizzato dall’utente. Gli analizzatori eseguono la decodifica a livello di applicazione, il rilevamento delle anomalie, la corrispondenza delle firme e l’analisi delle connessioni. Zeek è stato progettato per incorporare facilmente analizzatori aggiuntivi. Alcuni analizzatori di livello di applicazione inclusi con Zeek sono HTTP, FTP, SMTP e DNS, tra gli altri. Altri analizzatori di livello non applicativo includono analizzatori che rilevano scansioni di host o porte, host intermedi e syn-flood. Zeek include anche il rilevamento della firma e consente l’importazione di firme Snort.