Tuning is always one of the more interesting parts of setting up Snort. The good news is, you've already essentially stated the guiding principle of the process: use only what you actually need.<div><br></div><div>The easy first step - beyond using PulledPork to start out with one of the VRT-recommended default policies - is to turn off entire categories of rules that don't apply; for example, if you've got no Oracle servers to defend, oracle.rules stays off. From there, depending on how confident you are in your environment's patching process, you can go through and start turning off older rules; as a rule of thumb, anything more than 5 years old is pretty much a case of "default is off, until proven otherwise". You can also go ahead and disable individual rules for software you don't have.</div>
<div><br></div><div>That said, as for the particular event you're getting hits on - if you want to send some sample events over to me directly, I'd be curious to see if they look like legit attacks or if we need to tune the rule.<br>
<br><div class="gmail_quote">On Thu, Mar 17, 2011 at 8:30 AM, Youngquist, Jason R. <span dir="ltr"><<a href="mailto:jryoungquist@...3572...">jryoungquist@...3572...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">






<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal">Hi.</p>
<p class="MsoNormal"> </p>
<p class="MsoNormal">I’m new to Snort and am trying to weed out false positives and ignore events that are purely informational.  I was wondering if anyone could recommend any good howtos/docs/methodology on how to go about Snort rule tuning.</p>

<p class="MsoNormal"> </p>
<p class="MsoNormal">For example, I have this rule, sid 17441, which is “CHAT MSN Messenger and Windows Live Messenger Code Execution attempt” and have gotten it several times from multiple student machines.  It appears that this was an issue back in 2007 with
 Microsoft MSN Messenger 6.2, 7.0, and 7.5.  Right now,  Windows Live Messenger 2011 seems to be the current version.  So assuming that this is a false positive and I can ignore this rule.  Thoughts?</p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman","serif""> </span></p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman","serif"">Thanks.</span></p>
<p class="MsoNormal"><span style="color:black">Jason Youngquist</span></p>
<p class="MsoNormal"><span style="color:black">Information Technology Security Engineer</span></p>
<p class="MsoNormal"><span style="color:black">Technology Services</span></p>
<p class="MsoNormal"><span style="color:black">Columbia College</span></p>
<p class="MsoNormal"><span style="color:black">1001 Rogers Street, Columbia, MO  65216</span></p>
<p class="MsoNormal"><span style="color:black">(573) 875-7334</span></p>
<p class="MsoNormal"><span style="color:black"><a href="mailto:jryoungquist@...3572..." target="_blank"><span style="color:blue">jryoungquist@...3572...</span></a></span></p>
<p class="MsoNormal"><span style="color:black"><a href="http://www.ccis.edu/" target="_blank"><span style="color:blue">http://www.ccis.edu</span></a></span></p>
<p class="MsoNormal"> </p>
</div>
</div>

<br>------------------------------------------------------------------------------<br>
Colocation vs. Managed Hosting<br>
A question and answer guide to determining the best fit<br>
for your organization - today and in the future.<br>
<a href="http://p.sf.net/sfu/internap-sfd2d" target="_blank">http://p.sf.net/sfu/internap-sfd2d</a><br>_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...435...">alex.kirk@...435...</a><br>

</div>