pacotes IP capturados com pcap são transferidos para um motor de eventos que os Aceita ou rejeita. Os pacotes aceitos são encaminhados para o interpretador de script de política.
O motor de eventos analisa o tráfego de rede ao vivo ou registado ou os ficheiros de rastreio para gerar eventos neutros. Gera eventos quando” algo ” acontece. Isto pode ser despoletado pelo processo Zeek, como logo após a inicialização ou pouco antes do término do processo Zeek, bem como por algo acontecendo na rede (ou arquivo de rastreamento) sendo analisado, como Zeek testemunhando uma solicitação HTTP ou uma nova conexão TCP. Zeek usa portas comuns e detecção dinâmica de Protocolo (envolvendo assinaturas, bem como análise comportamental) para fazer um melhor palpite em interpretar protocolos de rede. Os acontecimentos são neutros em termos de política, na medida em que não são bons ou maus, mas simplesmente sinalizam à script land que algo aconteceu.
eventos são tratados por scripts de políticas, que analisam eventos para criar políticas de ação. Os scripts são escritos na Linguagem de script Turing Zeek completa. Por padrão, o Zeek simplesmente regista informações sobre eventos em arquivos (o Zeek também suporta eventos de registro em saída binária); no entanto, ele pode ser configurado para tomar outras ações, como o envio de um e-mail, levantar um alerta, executar um comando de Sistema, atualizar uma métrica interna e até mesmo chamar outro script Zeek. O comportamento padrão produz saída Tipo NetFlow (log conn), bem como informações de eventos de Aplicação. Scripts Zeek são capazes de ler em dados de arquivos externos, como listas negras, para uso dentro de scripts de política Zeek.
Zeek analyzersEdit
a maioria dos analisadores Zeek estão localizados no motor de eventos de Zeek com um programa de política de acompanhamento. O script de política pode ser personalizado pelo Usuário. Os analisadores realizam descodificação de camadas de Aplicação, detecção de anomalias, correspondência de assinaturas e análise de ligação. Zeek foi projetado para incorporar facilmente analisadores adicionais. Alguns analisadores de camada de Aplicação incluídos com Zeek são HTTP, FTP, SMTP e DNS, entre outros. Outros analisadores de camadas não-aplicáveis incluem analisadores que detectam varreduras de hospedeiros ou portais, hosts intermediários e inundações sin -. Zeek também inclui detecção de assinaturas e permite a importação de assinaturas Snort.