<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<TITLE>One for the Wishlist</TITLE>

<META content="MSHTML 5.50.4030.2400" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=070292217-25082000>That 
is exactly my point.   A log parser (or database query in my case) 
can't assign a severity to an event unless you assign the severity to events in 
the parser script.  This would mean re-writing the parser for every rule 
addition.  If the parser can just look at the log and see "Severity=5" it 
makes it much easier to code the parser.</SPAN></FONT></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Ed Padin 
  [mailto:epadin@...200...]<BR><B>Sent:</B> Friday, August 25, 2000 10:59 
  AM<BR><B>To:</B> Snort-Users (E-mail)<BR><B>Subject:</B> RE: [Snort-users] One 
  for the Wishlist<BR><BR></FONT></DIV>
  <DIV><SPAN class=680540116-25082000><FONT face="Courier New" color=#0000ff 
  size=2>These sound like a nice features but I wonder if they would be 
  better suited to a log parser rather than snort itself.</FONT></SPAN></DIV>
  <BLOCKQUOTE dir=ltr 
  style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR><B>From:</B> Steve Halligan 
    [mailto:agent33@...187...]<BR><B>Sent:</B> Friday, August 25, 2000 11:03 
    AM<BR><B>To:</B> Snort-Users (E-mail)<BR><B>Subject:</B> [Snort-users] One 
    for the Wishlist<BR><BR></FONT></DIV>
    <P><FONT size=2>I know this has been mentioned before, but I would like to 
    see the ability to assign a severity level to a rule.  For example a 
    PING-ICMP_TIME_EXCEEDED my be a severity=1 while an FTP-badlogin may be a 3 
    and a DDoS-shaft handler to agent may be a 5.  I know that this is 
    somewhat subjective, but once the rules have been modified to minimize false 
    positives in your environment, this could really aid tuning flex response 
    and automated nastygram response (tm).  It would also give us the 
    ability to flag a potential attacker.  For example traffic from a.b.c.d 
    triggers a rule with a severity=5, all traffic from this ip will be logged 
    for X amount of time.  We can also automagically add him to a "watch 
    list" and pay special attention to events from him even after X amount of 
    time has expired.</FONT></P>
    <P><FONT size=2>-Steve</FONT> </P></BLOCKQUOTE></BLOCKQUOTE></BODY></HTML>