pakiety IP przechwycone za pomocą pcap są przenoszone do silnika zdarzeń, który je akceptuje lub odrzuca. Zaakceptowane pakiety są przekazywane do interpretera skryptów policy.
silnik zdarzeń analizuje ruch sieciowy na żywo lub nagrany lub pliki śledzenia w celu wygenerowania neutralnych zdarzeń. Generuje zdarzenia, gdy ” coś ” się dzieje. Może to być wywołane przez proces Zeek, na przykład tuż po inicjalizacji lub tuż przed zakończeniem procesu Zeek, jak również przez coś odbywającego się w analizowanej sieci (lub pliku śledzenia), na przykład Zeek będący świadkiem żądania HTTP lub nowego połączenia TCP. Zeek wykorzystuje wspólne porty i dynamiczne wykrywanie protokołów (obejmujące sygnatury, a także analizę behawioralną), aby najlepiej zgadywać przy interpretacji protokołów sieciowych. Wydarzenia są neutralne politycznie, ponieważ nie są dobre ani złe, ale po prostu sygnalizują, że coś się stało.
zdarzenia są obsługiwane przez skrypty zasad, które analizują zdarzenia w celu utworzenia zasad działania. Skrypty są napisane w języku skryptowym Turing complete Zeek. Domyślnie Zeek po prostu rejestruje informacje o zdarzeniach do plików (Zeek obsługuje również rejestrowanie zdarzeń na wyjściu binarnym); jednak może być skonfigurowany do podejmowania innych działań, takich jak wysyłanie wiadomości e-mail, podnoszenie alertu, wykonywanie polecenia systemowego, aktualizowanie wewnętrznego metryki, a nawet wywoływanie innego skryptu Zeek. Domyślne zachowanie generuje dane wyjściowe podobne do NetFlow (Conn log), a także informacje o zdarzeniach aplikacji. Skrypty Zeek są w stanie odczytywać dane z zewnętrznych plików, takich jak czarne listy, do użytku w skryptach zasad Zeek.
analizatory Zeekedytuj
Większość analizatorów Zeek znajduje się w silniku zdarzeń Zeek z dołączonym skryptem polityki. Skrypt zasad może być dostosowany przez użytkownika. Analizatory wykonują dekodowanie warstwy aplikacji, wykrywanie anomalii, dopasowywanie podpisów i analizę połączeń. Zeek został zaprojektowany tak, aby w łatwy sposób włączać dodatkowe analizatory. Niektóre analizatory warstw aplikacji dołączone do Zeek to między innymi HTTP, FTP, SMTP i DNS. Inne analizatory warstw innych niż aplikacje obejmują analizatory wykrywające skanowanie hostów lub portów, hosty pośredniczące i syn-powodzie. Zeek zawiera również wykrywanie podpisów i umożliwia import podpisów Snort.