pachetele IP capturate cu pcap sunt transferate către un motor de evenimente care le acceptă sau le respinge. Pachetele acceptate sunt transmise interpretului scriptului de politică.
motorul de evenimente analizează traficul de rețea live Sau înregistrat sau fișierele de urmărire pentru a genera evenimente neutre. Generează evenimente când se întâmplă „ceva”. Acest lucru poate fi declanșat de procesul Zeek, cum ar fi imediat după inițializare sau chiar înainte de terminarea procesului Zeek, precum și de ceva care are loc în rețea (sau fișier de urmărire) analizat, cum ar fi Zeek asistând la o cerere HTTP sau la o nouă conexiune TCP. Zeek folosește porturi comune și detectarea dinamică a protocolului (care implică semnături, precum și analiza comportamentală) pentru a face cea mai bună presupunere la interpretarea protocoalelor de rețea. Evenimentele sunt neutre din punct de vedere politic prin faptul că nu sunt bune sau rele, ci pur și simplu semnalează scenariului că s-a întâmplat ceva.
evenimentele sunt gestionate de scripturi de politici, care analizează evenimentele pentru a crea politici de acțiune. Scripturile sunt scrise în limbajul de script Turing complet Zeek. În mod implicit, Zeek înregistrează pur și simplu informații despre evenimente în fișiere (Zeek acceptă, de asemenea, înregistrarea evenimentelor în ieșire binară); cu toate acestea, poate fi configurat să întreprindă alte acțiuni, cum ar fi trimiterea unui e-mail, ridicarea unei alerte, executarea unei comenzi de sistem, actualizarea unei valori interne și chiar apelarea unui alt script Zeek. Comportamentul implicit produce ieșire de tip NetFlow (conn log), precum și informații despre evenimentele aplicației. Scripturile Zeek pot citi în date din fișiere externe, cum ar fi listele negre, pentru a fi utilizate în scripturile de politică Zeek.
Zeek analyzersEdit
majoritatea analizoarelor Zeek sunt localizate în motorul de evenimente Zeek cu un script de politică însoțitor. Scriptul de politică poate fi personalizat de către utilizator. Analizoarele efectuează decodarea stratului de aplicație, detectarea anomaliilor, potrivirea semnăturilor și analiza conexiunii. Zeek a fost conceput pentru a încorpora cu ușurință analizoare suplimentare. Unele analizoare de strat de aplicație incluse cu Zeek sunt HTTP, FTP, SMTP și DNS, printre altele. Alte analizoare de nivel non-aplicație includ analizoare care detectează scanări gazdă sau port, gazde intermediare și inundații syn. Zeek include, de asemenea, detectarea semnăturii și permite importul de semnături Snort.