<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>Hello Roberto,</div>
<div><br>
</div>
<div>  Thank you for the Snort imporvement recommendation and patch.  I cannot say for certain that it will be incorporated into the snort codebase.  But we will add your request and patch to the snort feature request log.</div>
<div><br>
</div>
<div>    Best Regards,</div>
<div>    Ed Borgoyn</div>
<div>    Cisco Snort Development Team</div>
<div><br>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Roberto Moreda <<a href="mailto:moreda@...3615...">moreda@...3615...</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, October 7, 2015 at 7:29 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-devel@lists.sourceforge.net">snort-devel@lists.sourceforge.net</a>" <<a href="mailto:snort-devel@lists.sourceforge.net">snort-devel@...1656...rceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-devel] Option for one-line "raw" packet dump (ascii and hex) in alert_fast output module<br>
</div>
<div><br>
</div>
<blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
Hi, all.
<div class=""><br class="">
</div>
<div class="">I hope I’m not bringing up an old or closed subject. I made some searches and I couldn’t find anything clear about my problem :-) </div>
<div class=""><br class="">
</div>
<div class="">For some time I have been using Snort as a source of “security events” for several log consolidation or SIEM systems. Most of those systems assume one-line alerts as input, with the minimal info (i.e. name/id of the signature, severity, category,
 source and destination). The problem is that analysts usually would like to have the payload of the package to assess false positives at once.</div>
<div class=""><br class="">
</div>
<div class="">In order to not interfere with the usual “field recognition patterns” of such systems, I opted to extend the alert_fast output module this way:</div>
<div class=""><br class="">
</div>
<blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;" class="">
<div class="">… </div>
<div class="">output alert_fast: [<filename> ["packet"|"packetraw"] [<limit>]]</div>
<div class=""><br class="">
</div>
<div class="">* <b class="">packetraw</b>: this option will cause brief single-line entries</div>
<div class="">                 to be logged with the content of the packet in raw format (ascii and hexadecimal</div>
<div class="">                 dumps) appended.</div>
<div class="">…</div>
<div class=""><br class="">
</div>
</blockquote>
<div class="">This is absolutely backwards compatible, not affecting current Snort configurations.</div>
<div class=""><br class="">
</div>
<div class="">The result with the “packetraw” option in the alert_fast output module configuration, should be one line per alert as:</div>
<div class=""><br class="">
</div>
<blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;" class="">
<div class="">10/08/15-01:03:16.909442  [**] [3:21355:4]  <eth1> PROTOCOL-DNS potential dns ca</div>
<div class="">che poisoning attempt - mismatched txid [**] [Classification: Attempted Informat</div>
<div class="">ion Leak] [Priority: 2] {UDP} XX.XX.XX.XX:53 -> YY.YY.YY.YY:12563 <b class="">
...z[…]  0001D77A[…]</b></div>
</blockquote>
<div class=""><br class="">
</div>
<div class="">Note that the ...z[…]  0001D77A[…] is shortened on purpose, but the idea is basically what’s shown. Once again, this should be backwards compatible with sane parsers in most of log consolidation or SIEM systems *and* appends the ascii and hexadecimal
 dump of the raw packet to each event, offering a great way to assess false positives and make accurate general searches.</div>
<div class=""><br class="">
</div>
<div class="">I wrote a patch against 2.9.7.6 to enable this behaviour, that you can see <a href="https://github.com/moreda/snort/compare/2.9.7.6...2.9.7.6-packetraw" class="">here</a> in a fancy format or download <a href="https://github.com/moreda/snort/compare/2.9.7.6...2.9.7.6-packetraw.diff" class="">here</a> ready
 to apply. </div>
<div class=""><br class="">
</div>
<div class="">I know that the general idea is to avoid extra logic in the output modules, letting other processes to cope with unified2 to convert data to whatever format… but I’m pretty sure that this tiny addition could lower complexity in many deployments
 allowing to have payload info in a very simple way.</div>
<div class=""><br class="">
</div>
<div class="">Please, feel free to criticise, correct or comment about my proposal.</div>
<div class="">Thank you very much!</div>
<div class=""><br class="">
</div>
<div class="">  Roberto  </div>
<div class=""><br class="">
</div>
</div>
</div>
</blockquote>
</span>
</body>
</html>