IP-paket som fångats med pcap överförs till en händelsemotor som accepterar eller avvisar dem. De accepterade paketen vidarebefordras till policyskriptolken.
händelsemotorn analyserar live eller inspelad nätverkstrafik eller spårfiler för att generera neutrala händelser. Det genererar händelser när ”något” händer. Detta kan utlösas av Zeek-processen, till exempel strax efter initialisering eller strax innan Zeek-processen avslutas, liksom av något som äger rum i nätverket (eller spårfilen) som analyseras, till exempel Zeek som bevittnar en HTTP-begäran eller en ny TCP-anslutning. Zeek använder gemensamma portar och dynamisk protokolldetektering (involverar signaturer samt beteendeanalys) för att göra en bästa gissning vid tolkning av nätverksprotokoll. Händelser är policyneutrala genom att de inte är bra eller dåliga utan helt enkelt signalerar till script land att något hände.
händelser hanteras av policyskript, som analyserar händelser för att skapa åtgärdspolicyer. Skripten är skrivna på Turing complete Zeek skriptspråk. Som standard loggar Zeek helt enkelt information om händelser till filer (Zeek stöder också loggningshändelser i binär utgång); det kan dock konfigureras för att vidta andra åtgärder som att skicka ett e-postmeddelande, höja en varning, utföra ett systemkommando, uppdatera en intern metrisk och till och med ringa ett annat Zeek-skript. Standardbeteendet ger NetFlow-liknande utgång (conn-logg) samt information om applikationshändelser. Zeek-skript kan läsa in data från externa filer, till exempel svartlistor, för användning i Zeek-policyskript.
Zeek analyzersEdit
de flesta Zeek analysatorer finns i Zeeks event engine med ett medföljande policyskript. Policyskriptet kan anpassas av användaren. Analysatorerna utför applikationslageravkodning, anomalidetektering, signaturmatchning och anslutningsanalys. Zeek har utformats för att enkelt införliva ytterligare analysatorer. Vissa applikationslageranalysatorer som ingår i Zeek är bland annat HTTP, FTP, SMTP och DNS. Andra icke-applikationslageranalysatorer inkluderar analysatorer som upptäcker värd-eller portskanningar, mellanliggande värdar och syn-översvämningar. Zeek inkluderar även signaturdetektering och tillåter import av Snort signaturer.