EVE to nowy sposób identyfikacji aplikacji klienckich i procesów wykorzystujących szyfrowanie TLS. Zapewnia widoczność i umożliwia administratorom podejmowanie działań i egzekwowanie zasad w ich środowiskach. EVE działa poprzez pobieranie odcisków palców pakietu Client Hello w uzgadnianiu TLS.
Identyfikując określone odciski palców aplikacji podczas ustanawiania sesji TLS, system może zidentyfikować proces klienta i podjąć odpowiednie działania (zezwolić/zablokować).
EVE sprawdza część Client Hello uzgadniania TLS, aby zidentyfikować procesy klienta.
Client Hello jest początkowym pakietem danych wysyłanym do serwera po trójstronnym uzgodnieniu.
Jak się okazuje, Client Hello daje dobre wskazanie procesu klienta na hoście.
Ten odcisk palca, w połączeniu z innymi danymi, takimi jak docelowy adres IP, stanowi podstawę identyfikacji aplikacji EVE.