<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
On Jan 3, 2014, at 12:51 PM, Long, Kerry S <<a href="mailto:kslong@...1067...227...">kslong@...227...</a>> wrote:<br>
<div><br class="Apple-interchange-newline">
<blockquote type="cite">
<div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<div class="WordSection1" style="page: WordSection1;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">Hello, I originally sent this to the users group.  It is probably more appropriate for this group.<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">I am trying to figure out the best way to accomplish the following task.  I want my analysts to see a variable I capture with byte extract in their alert display.  Ideally it could just be inserted
 into the message field like below. I could also use Unified2 alerts with an extra custom field maybe where I create some sort of plugin to grab the value and insert it into a Unified2 alert.  Trying to decide what is the easiest way to do it. Suggestions would
 be most appreciated.<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">Kerry<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">alert tcp any any -> any any (byte_extract:1, 0, str_offset; \<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">        byte_extract:1, 1, str_depth; \<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">       content:"bad stuff"; offset:str_offset; depth:str_depth; \<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 10pt; font-family: 'Courier New';">        msg:"Bad Stuff detected within field at $str_offset";)<o:p></o:p></span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 12pt; font-family: 'Times New Roman', serif;"> </span></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
</div>
</div>
</blockquote>
<br>
</div>
<div>Currently there is no way to modify the message based upon a capture.  </div>
<div><br>
</div>
<div><span style="font-family: 'Lucida Grande';">--</span><br>
<span style="font-family: 'Lucida Grande';"><b>Joel Esler</b></span><br>
<span style="font-family: 'Lucida Grande';">Intelligence Lead</span><br>
<span style="font-family: 'Lucida Grande';">Open Source Manager</span><br>
<span style="font-family: 'Lucida Grande';">Vulnerability Research Team</span><br>
<span style="font-family: 'Lucida Grande';"><b>New Email</b>: <a href="mailto:jesler@...3461...">
jesler@...3461...</a></span></div>
</body>
</html>