<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] sending alerts by email / active response Win2K system [RMC-J7FLJI4]</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>(FYI: I'm now using EventSentry Light).  I've include below the text of an e-mail I received from a Snort Alert, which EventSentry sent to me via e-mail: </FONT></P>

<P><FONT SIZE=2>EVENT #       136437</FONT>
<BR><FONT SIZE=2>EVENTLOG      Application</FONT>
<BR><FONT SIZE=2>EVENT TYPE    INFORMATION</FONT>
<BR><FONT SIZE=2>SOURCE        snort</FONT>
<BR><FONT SIZE=2>EVENT ID      1</FONT>
<BR><FONT SIZE=2>COMPUTERNAME  SNORT-NT4</FONT>
<BR><FONT SIZE=2>TIME          01/28/2003 5:58:59 PM</FONT>
<BR><FONT SIZE=2>MESSAGE       [1:1002:5] WEB-IIS cmd.exe access [Classification: Web Application Attack] [Priority: 1]: {TCP} 63.117.225.193:1056 -> 10.0.1.214:80</FONT></P>

<P><FONT SIZE=2>EVENT #       136438</FONT>
<BR><FONT SIZE=2>EVENTLOG      Application</FONT>
<BR><FONT SIZE=2>EVENT TYPE    INFORMATION</FONT>
<BR><FONT SIZE=2>SOURCE        snort</FONT>
<BR><FONT SIZE=2>EVENT ID      1 </FONT>
<BR><FONT SIZE=2>COMPUTERNAME  SNORT-NT4</FONT>
<BR><FONT SIZE=2>TIME          01/28/2003 5:58:59 PM</FONT>
<BR><FONT SIZE=2>MESSAGE       [1:1201:6] ATTACK RESPONSES 403 Forbidden [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 10.0.1.214:80 -> 63.117.225.193:1056</FONT></P>

<P><FONT SIZE=2>I basically filter on Application Log, Information events, 'snort' as the source, and '[Priority: 1]' as the message text.  </FONT></P>
<BR>

<P><FONT SIZE=2>Cheers!</FONT>
<BR><FONT SIZE=2>  Christopher</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Michael Steele [<A HREF="mailto:michaels@...6149.....">mailto:michaels@...155...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Tuesday, January 28, 2003 4:52 PM</FONT>
<BR><FONT SIZE=2>To: 'L. Christopher Luther'; 'Romulo M. Cholewa'</FONT>
<BR><FONT SIZE=2>Cc: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] sending alerts by email / active response Win2K system [RMC-J7FLJI4]</FONT>
</P>
<BR>

<P><FONT SIZE=2>Christopher, Anyone, etc.</FONT>
</P>

<P><FONT SIZE=2>I'm trying the program now, but I still unable to get it to alert on anything. What I am trying to do is alert on "Priority: 1" alerts only. Maybe it's not possible to parse the actual alert and grab content and alert on that content? Any hints as to how to accomplish this?</FONT></P>

<P><FONT SIZE=2>   -Michael</FONT>
</P>

<P><FONT SIZE=2>--</FONT>
<BR><FONT SIZE=2> Michael Steele | System Engineer / Support Technician <A HREF="mailto:michaels@...155...">mailto:michaels@...155...</A></FONT>
<BR><FONT SIZE=2> Silicon Defense: IDS solutions - <A HREF="http://www.silicondefense.com" TARGET="_blank">http://www.silicondefense.com</A></FONT>
<BR><FONT SIZE=2> Snort: Open Source Network IDS - <A HREF="http://www.snort.org" TARGET="_blank">http://www.snort.org</A></FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net [<A HREF="mailto:snort-users-admin@lists.sourceforge.net">mailto:snort-users-admin@lists.sourceforge.net</A>] On Behalf Of L. Christopher Luther</FONT></P>

<P><FONT SIZE=2>Sent: Tuesday, January 28, 2003 11:16 AM</FONT>
<BR><FONT SIZE=2>To: 'Michael Steele'; 'Romulo M. Cholewa'</FONT>
<BR><FONT SIZE=2>Cc: 'snort-users@lists.sourceforge.net'</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] sending alerts by email / active response Win2K system [RMC-J7FLJI4]</FONT>
</P>

<P><FONT SIZE=2>Ask and ye shall receive: </FONT>
</P>

<P><FONT SIZE=2>    EventSentry Light - <A HREF="http://www.netikus.net/products_downloads.html" TARGET="_blank">http://www.netikus.net/products_downloads.html</A></FONT>
</P>

<P><FONT SIZE=2>I've not compared the functionality of EventSentry Light to the original EventWatchNT, but I really liked EventWatchNT.  For a freeware Event Log monitor, it just could not be beat (IMHO). </FONT></P>

<P><FONT SIZE=2>I personally like the freeware version Kiwi Syslog Daemon, but unfortunately, the filter/trigger e-mail functionality is only available in the registered product.  (sigh...)</FONT></P>

<P><FONT SIZE=2>Cheers!</FONT>
</P>

<P><FONT SIZE=2>  Christopher</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: "Michael Steele" <michaels@...155...></FONT>
<BR><FONT SIZE=2>To: "'Romulo M. Cholewa'" <rmc@...8111...>,</FONT>
<BR><FONT SIZE=2>        <snort-users@lists.sourceforge.net></FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] sending alerts by email / active response Win2K system [RMC-J7FLJI4]</FONT>
<BR><FONT SIZE=2>Date: Tue, 28 Jan 2003 07:44:52 -0800</FONT>
</P>

<P><FONT SIZE=2>Romulo,</FONT>
</P>

<P><FONT SIZE=2>You will need something like Syslog Daemon and run the alerts through that.  It has an option of emailing on certain triggers. If you find a free tool that works, please let us windows folks know. The alerts can be sent to the Event Viewer, application log in Windows and if you can find something to parse that file and alert, that would be great.</FONT></P>

<P><FONT SIZE=2>-Michael</FONT>
<BR><FONT SIZE=2> Michael Steele | System Engineer / Support Technician    =20</FONT>
<BR><FONT SIZE=2> <A HREF="mailto:michaels@...155...">mailto:michaels@...155...</A>   =20</FONT>
<BR><FONT SIZE=2> Silicon Defense: IDS solutions - <A HREF="http://www.silicondefense.com" TARGET="_blank">http://www.silicondefense.com</A></FONT>
<BR><FONT SIZE=2> Snort: Open Source Network IDS - <A HREF="http://www.snort.org" TARGET="_blank">http://www.snort.org</A></FONT>
</P>

</BODY>
</HTML>