<div dir="ltr"><div>> <span style="color:rgb(33,33,33);font-family:"helvetica neue",helvetica,arial,sans-serif">We will probably go with both to make sure we are covered.</span></div><div><br></div>And that's mostly what everyone is counting on you to do.<div><br></div><div>There's a similar problem with "Cyber Threat Intelligence" feeds as well - no one knows what they don't know, so if there isn't overlap, should you get both???</div><div><br></div><div>It's a thing, for sure...</div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Oct 6, 2016 at 10:47 AM Shawn Maggard <<a href="mailto:smaggard@...180.....4184...">smaggard@...4184...</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg">Thank you all for your help. We will probably go with both to make sure we are covered.</div><div class="gmail_extra gmail_msg"><br class="gmail_msg"><div class="gmail_quote gmail_msg">On Wed, Oct 5, 2016 at 6:07 PM,  <span dir="ltr" class="gmail_msg"><<a href="mailto:wkitty42@...3507..." class="gmail_msg" target="_blank">wkitty42@...3507...</a>></span> wrote:<br class="gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="gmail_msg">On 10/05/2016 06:10 PM, Joel Esler (jesler) wrote:<br class="gmail_msg">
> I am sure there are plenty of people who would object to both sides of that argument.<br class="gmail_msg">
<br class="gmail_msg">
</span>hahaha... i hear ya... i contemplated for over an hour on how to respond to that<br class="gmail_msg">
post O:)<br class="gmail_msg">
<span class="gmail_msg"><br class="gmail_msg">
> Some of the rules overlap, most don’t.<br class="gmail_msg">
<br class="gmail_msg">
</span>true...<br class="gmail_msg">
<span class="gmail_msg"><br class="gmail_msg">
> You have to adjust the rulesets you are using by what your network is susceptible to.<br class="gmail_msg">
<br class="gmail_msg">
</span>absolutely... you always have to tune the rules to one's network... there is no<br class="gmail_msg">
one-size-fits-all capability... personally speaking, we run both sets over here<br class="gmail_msg">
on a highly tuned setup... we don't break out the LART very much any more...<br class="gmail_msg">
these days, one of the noisiest are the MIRAI detection rules but they were<br class="gmail_msg">
noisy before we knew what it was ;)<br class="gmail_msg">
<div class="m_3482023625772147336HOEnZb gmail_msg"><div class="m_3482023625772147336h5 gmail_msg"><br class="gmail_msg">
<br class="gmail_msg">
> Joel<br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
>> On Oct 5, 2016, at 5:50 PM, <a href="mailto:wkitty42@...3507..." class="gmail_msg" target="_blank">wkitty42@...3507...</a> wrote:<br class="gmail_msg">
>><br class="gmail_msg">
>> On 10/05/2016 10:36 AM, Shawn Maggard wrote:<br class="gmail_msg">
>>> We are building our pfSense box, and are trying to decide on which set of Snort<br class="gmail_msg">
>>> rules to purchase: Snort's Sourcefire VRT, Emerging Threats (from proofpoint),<br class="gmail_msg">
>>> or both.<br class="gmail_msg">
>><br class="gmail_msg">
>> ET's rules are front line stuff for catching new critters...<br class="gmail_msg">
>><br class="gmail_msg">
>> Talos' rules are more for maintenance and protection...<br class="gmail_msg">
>><br class="gmail_msg">
>> FWIW: Sourcefile VRT is now known as Talos...<br class="gmail_msg">
>><br class="gmail_msg">
>><br class="gmail_msg">
>> --<br class="gmail_msg">
>>  NOTE: No off-list assistance is given without prior approval.<br class="gmail_msg">
>>        *Please keep mailing list traffic on the list* unless<br class="gmail_msg">
>>        private contact is specifically requested and granted.<br class="gmail_msg">
>><br class="gmail_msg">
>> ------------------------------------------------------------------------------<br class="gmail_msg">
>> Check out the vibrant tech community on one of the world's most<br class="gmail_msg">
>> engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" class="gmail_msg" target="_blank">http://sdm.link/slashdot</a><br class="gmail_msg">
>> _______________________________________________<br class="gmail_msg">
>> Snort-sigs mailing list<br class="gmail_msg">
>> <a href="mailto:Snort-sigs@lists.sourceforge.net" class="gmail_msg" target="_blank">Snort-sigs@lists.sourceforge.net</a><br class="gmail_msg">
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br class="gmail_msg">
>> <a href="http://www.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://www.snort.org</a><br class="gmail_msg">
>><br class="gmail_msg">
>><br class="gmail_msg">
>> Please visit <a href="http://blog.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br class="gmail_msg">
><br class="gmail_msg">
> ------------------------------------------------------------------------------<br class="gmail_msg">
> Check out the vibrant tech community on one of the world's most<br class="gmail_msg">
> engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" class="gmail_msg" target="_blank">http://sdm.link/slashdot</a><br class="gmail_msg">
> _______________________________________________<br class="gmail_msg">
> Snort-sigs mailing list<br class="gmail_msg">
> <a href="mailto:Snort-sigs@lists.sourceforge.net" class="gmail_msg" target="_blank">Snort-sigs@lists.sourceforge.net</a><br class="gmail_msg">
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br class="gmail_msg">
> <a href="http://www.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://www.snort.org</a><br class="gmail_msg">
><br class="gmail_msg">
><br class="gmail_msg">
> Please visit <a href="http://blog.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br class="gmail_msg">
><br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
--<br class="gmail_msg">
  NOTE: No off-list assistance is given without prior approval.<br class="gmail_msg">
        *Please keep mailing list traffic on the list* unless<br class="gmail_msg">
        private contact is specifically requested and granted.<br class="gmail_msg">
<br class="gmail_msg">
------------------------------------------------------------------------------<br class="gmail_msg">
Check out the vibrant tech community on one of the world's most<br class="gmail_msg">
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" class="gmail_msg" target="_blank">http://sdm.link/slashdot</a><br class="gmail_msg">
_______________________________________________<br class="gmail_msg">
Snort-sigs mailing list<br class="gmail_msg">
<a href="mailto:Snort-sigs@lists.sourceforge.net" class="gmail_msg" target="_blank">Snort-sigs@lists.sourceforge.net</a><br class="gmail_msg">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br class="gmail_msg">
<a href="http://www.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://www.snort.org</a><br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
Please visit <a href="http://blog.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://blog.snort.org</a> for the latest news about Snort!</div></div></blockquote></div><br class="gmail_msg"></div>
------------------------------------------------------------------------------<br class="gmail_msg">
Check out the vibrant tech community on one of the world's most<br class="gmail_msg">
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" class="gmail_msg" target="_blank">http://sdm.link/slashdot</a>_______________________________________________<br class="gmail_msg">
Snort-sigs mailing list<br class="gmail_msg">
<a href="mailto:Snort-sigs@lists.sourceforge.net" class="gmail_msg" target="_blank">Snort-sigs@lists.sourceforge.net</a><br class="gmail_msg">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br class="gmail_msg">
<a href="http://www.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://www.snort.org</a><br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
Please visit <a href="http://blog.snort.org" rel="noreferrer" class="gmail_msg" target="_blank">http://blog.snort.org</a> for the latest news about Snort!</blockquote></div>