IP-pakketten die met pcap zijn vastgelegd, worden overgebracht naar een gebeurtenisengine die ze accepteert of weigert. De geaccepteerde pakketten worden doorgestuurd naar de policy script interpreter.
de event engine analyseert live of opgenomen netwerkverkeer of trace bestanden om neutrale gebeurtenissen te genereren. Het genereert gebeurtenissen wanneer “iets” gebeurt. Dit kan worden geactiveerd door het Zeek-proces, zoals net na initialisatie of vlak voor beëindiging van het Zeek-proces, evenals door iets dat plaatsvindt op het netwerk (of trace-bestand) dat wordt geanalyseerd, zoals Zeek getuige zijn van een HTTP-verzoek of een nieuwe TCP-verbinding. Zeek gebruikt gemeenschappelijke poorten en dynamische protocoldetectie (waarbij zowel handtekeningen als gedragsanalyse betrokken zijn) om een beste schatting te maken van het interpreteren van netwerkprotocollen. Gebeurtenissen zijn politiek neutraal in die zin dat ze niet goed of slecht zijn, maar gewoon signalen om land script dat er iets is gebeurd.
gebeurtenissen worden afgehandeld door beleidsscripts, die gebeurtenissen analyseren om actiebeleid te maken. De scripts zijn geschreven in de Turing complete Zeek scripting taal. Standaard logt Zeek gewoon informatie over gebeurtenissen naar bestanden (Zeek ondersteunt ook logboekgebeurtenissen in binaire uitvoer); het kan echter worden geconfigureerd om andere acties te ondernemen, zoals het verzenden van een e-mail, het verhogen van een waarschuwing, het uitvoeren van een systeemopdracht, het bijwerken van een interne metriek en zelfs het aanroepen van een ander Zeek script. Het standaardgedrag produceert NetFlow-achtige uitvoer (conn log) en informatie over toepassingsgebeurtenissen. Zeek scripts zijn in staat om gegevens van externe bestanden, zoals zwarte lijsten, te lezen voor gebruik binnen Zeek beleid scripts.
Zeek analyzersEdit
De meeste Zeek analyzers bevinden zich in Zeek ‘ s event engine met een bijbehorend beleidsscript. Het beleidsscript kan door de gebruiker worden aangepast. De analyzers voeren applicatielaag decodering, anomalie detectie, handtekening matching en verbinding analyse. Zeek is ontworpen om eenvoudig extra analyzers in te bouwen. Sommige applicatielaag analyzers die bij Zeek worden meegeleverd zijn onder andere HTTP, FTP, SMTP en DNS. Andere niet-applicatielaaganalyzers zijn analysatoren die host-of poortscans, intermediaire hosts en syn-overstromingen detecteren. Zeek bevat ook signature detectie en maakt het importeren van Snort handtekeningen.