<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <title></title>
</head>
<body>
Excelente ..  ya habia escuchado antes de este proyecto Nemo ...  pero no
me habia dado cuenta que trabajas en Window$ ..  no sé pro que tuve la impresión
que lo hacias en Linux ..  pero bueno igual veo muy bueno lo que comentas
.. <br>
<br>
<br>
Julio Jaime wrote:<br>
<blockquote type="cite"
 cite="mid6137AB88D12BD311B63F0008C7FB1CF803C3A016@...2273...">  
  <meta http-equiv="Content-Type" content="text/html; ">
  <title></title>
   
  <meta content="MSHTML 5.00.3513.900" name="GENERATOR">
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">Bueno,  tome una decision respecto de este problema
y es la siguiente  :</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">        Voy  adicionar a cada regla en el campo
de mensaje, un texto con el set de reglas al  cual pertenece. Ejemplo :</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">Hoy  :</span></font></div>
 
  <div> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">alert  tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 (msg:"WEB-MISC Apache  Chunked-Encoding worm attempt"; flags:A+; content:"CCCCC<br>
CC\:  AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack;  reference:bugtraq,4474;
reference:cve,CAN-2002-0079;refer<br>
ence:bugtraq,5033;  reference:cve,CAN-2002-0392; sid:1809; rev:1;)<br>
  </span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">Modificado :</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">alert  tcp $EXTERNAL_NET any -> $HTTP_SERVERS
80 (msg:"WEB-APACHE : WEB-MISC Apache  Chunked-Encoding worm attempt"; flags:A+;
content:"CCCCC<br>
CC\:  AAAAAAAAAAAAAAAAAAA"; nocase; classtype:web-application-attack;  reference:bugtraq,4474;
reference:cve,CAN-2002-0079;refer<br>
ence:bugtraq,5033;  reference:cve,CAN-2002-0392; sid:1809; rev:1;)</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">    </span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">        Esto me  obliga a tener una herramienta
para el manejo de nuevas reglas, ya que tendre  que agregarles esta informacion
cuando agregue nuevas o cambien de version  reglas anteriores.</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">        Por lo tanto  la formula de Severidad
de los eventos mas el motor de correlacion, me permitira  concentrarme en
aquellos eventos mas interesantes.</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">Muchas  gracias por su ayuda.</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">PD:  Les envio una pantalla de la consola de
monitoreo en la cual estamos trabajando.  Es una version pre beta y todavia
falta mucho trabajo !!!</span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"></span></font> </div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003">Saludos.<br>
  </span></font></div>
 
  <div><font color="#0000ff" face="Arial" size="2"><span
 class="270344018-25042003"> </span></font></div>
 
  <blockquote>   
    <div align="left" class="OutlookMessageHeader" dir="ltr"><font
 face="Tahoma" size="2">-----Mensaje original-----<br>
    <b>De:</b> David Alonso De La Vega Tapage    [<a class="moz-txt-link-freetext" href="mailto:delavegad@...7768...">mailto:delavegad@...7768...</a>]<br>
    <b>Enviado el:</b> Jueves, 24 de Abril    de 2003 06:46 p.m.<br>
    <b>Para:</b> Julio Jaime<br>
    <b>CC:</b>    '<a class="moz-txt-link-abbreviated" href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>'<br>
    <b>Asunto:</b> Re: [Snort-users]    Relation between events and rules
set.<br>
    <br>
    </font></div>
Suena muy    interesante lo que haces ..  y algo divertido .. ! <br>
    <br>
Ahora bien tu    puedes modificar las reglas a tu gusto ..  sin importar
que dejen de ser    stadard ..  es más hasta podrias hacer un paquete de
reglas especifico    como quieras y poner la ruta de ese paquete de reglas
en el Rule Path ..      o poner solo las reglas que deseas en un path diferente
que    especificarias en el final de snort.conf en donde está en nombre especifico
de    cada regla ..  asi te devolverán lo que quieres y guardarás las   
originales .. <br>
    <br>
De otro lo que se me ocurre  un poco es un script    ..  que por ejemplo
filtrara de la base de datos lo que te interesa saber    de la regla ..  para
eso puedes ver la estructura de la DB en el archivo    de create_mysql que
está en contrib ...<br>
    <br>
Haber comentame más para ver si    tengo más ideas ..  o explicandome las
cosas se te ocurre una buena .. !    <br>
    <br>
Saludos desde Panamá .. ! <br>
    <br>
    <br>
Julio Jaime wrote:<br>
   
    <blockquote
 cite="mid6137AB88D12BD311B63F0008C7FB1CF803C3A006@...2273..." type="cite"> 
   
      <meta content="MSHTML 5.00.3513.900" name="GENERATOR">
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">Hola David,</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">           Muchas      gracias por tu ayuda.
Voy a dar una introduccion.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">               Estoy trabajando en una aplicacion
de manejo de amenazas en forma      distribuida, el cual utiliza snort ,
syslog servers y logsnorter para      colectar en diferentes puntos los eventos
de seguridad. Estos eventos son      enviados a un equipo central que los
correlaciona y genera alertas de      diferente grado.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">                 Cada evento se guarda en una
base de datos Mysql con el esquema de base de      datos de ACID. Tanto los
eventos de snort como aquellos que generen      diferentes sensores . ( Firewalls,
routers, IIS ).</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">               Hay un modulo del proyecto que
consiste en una consola donde se ven los      diferentes eventos que llegan
desde los logservers distribuidos, esta      consola muestra los eventos
en diferente color segun el grado de      severidad.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">          Definimos      un formula que da el
grado de severidad de un evento, la cual es      :</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">           Severidad      : Sensor + Criticidad
+ Letalidad</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">                 Sensor : Valor que corresponde
al equipo que detecto el evento. No es lo      mismo que lo detecte una Access
list de un router de borde que un evento      detectado por un IDS interno.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">                Criticidad : Es un valor que
esta dado por la direccion del server de      destino ( Ej : web server ,
smtp server ) y........... Aqui tenemos el      problema el set de reglas
de snort que disparo el  evento.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">               Ejemplo : Si un evento corresponde
al conjunto de reglas WEB-IIS.rules y      tiene como direccion destino un
server Apache ; la severidad es      1</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">                              Si este mismo evento
esta dirigido a un IIS la severidad es      2</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">             Letalidad : Esta dado por el tipo
de evento ( Informacion, DDOS,      Troyano...etc )</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">        Mi gran      problema es como hacer para
que snort me devuelva el conjunto de reglas que      disparo un evento. Ya
que el set de reglas estan clasificadas (      web-cgi.rules, web-coldfusion.rules,
web-frontpage.rules, web-iis.rules,      web-misc.rules, x11.rules ).</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">        Hoy      un evento cuando dispara un
alerta solo me devuelve el campo "msg" y no el      set de reglas al cual
pertenece el alerta. Esto me trae problemas ya que en      el caso del set
de reglas WEB-MISC por ejemplo, trae mensajes con      valores WEB-PHP, WEB-MISC.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">        Una      solucion seria modificar todos
los campos "msg" de las reglas, pero dejarian      de ser standars.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">        Bueno      gracias por su ayuda y disculpen
este mail tan largo.</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">Saludos,</span></font></div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003"></span></font> </div>
     
      <div><font color="#0000ff" face="Arial" size="2"><span
 class="774245820-24042003">                </span></font></div>
     
      <blockquote>       
        <div align="left" class="OutlookMessageHeader" dir="ltr"><font
 face="Tahoma" size="2">-----Mensaje original-----<br>
        <b>De:</b> David Alonso De La Vega        Tapage [<a
 class="moz-txt-link-freetext" href="mailto:delavegad@...7768...">mailto:delavegad@...7768...</a>]<br>
        <b>Enviado        el:</b> Jueves, 24 de Abril de 2003 05:16 p.m.<br>
        <b>Para:</b> Julio        Jaime<br>
        <b>CC:</b> '<a class="moz-txt-link-abbreviated"
 href="mailto:snort-users@lists.sourceforge.net">snort-users@...3054...forge.net</a>'<br>
        <b>Asunto:</b>        Re: [Snort-users] Relation between events and
rules        set.<br>
        <br>
        </font></div>
Sueltalo en castellano ..   pues habemos un        par de habla hispana que
también te podemos hechar la mano ..  !        claro que de mi parte mis
conocimientos son mínimos pero de algo quizas        han de servir .. <br>
        <br>
        <br>
Julio Jaime wrote:<br>
       
        <blockquote
 cite="mid6137AB88D12BD311B63F0008C7FB1CF803C3A003@...2273..." type="cite">
          <pre wrap="">Hi John,

       Im sorry, english is not my language and is difficult to me explain
it.

       You have differents set of rules :

       web-cgi.rules, web-coldfusion.rules, web-frontpage.rules,
web-iis.rules, web-misc.rules, x11.rules... etc.

       The events trigger specific rules ( rules on these set of rules ).

       Ex : WEB-IIS cmd.exe access ---> on web-iis.rules

       The only reference to the set of rules on snort alert is the msg
header, and is not reliable. ( ex. on web-misc.rules you have msg with
WEB-MISC and WEB-PHP... )

        If we can to know the set of rules that trigger the events, we can
use it to calculate the event severity.

        "WEB-IIS cmd.exe access" alert is not dangerous on Apache Web
Server.

         It's ok ?

Thanks a lot.

J.J.           

-----Mensaje original-----
De: John Sage [<a class="moz-txt-link-freetext"
 href="mailto:jsage@...2022...">mailto:jsage@...2022...</a>]
Enviado el: Miércoles, 23 de Abril de 2003 10:10 p.m.
Para: Julio Jaime
CC: '<a class="moz-txt-link-abbreviated"
 href="mailto:snort-users@lists.sourceforge.net">snort-users@...3054...forge.net</a>'
Asunto: Re: [Snort-users] Relation between events and rules set.


Julio:

Let's do a little trimming:

On or about Wed, Apr 23, 2003 at 04:47:30PM -0300, Julio Jaime posited:
  </pre>
         
          <blockquote type="cite">
            <pre wrap="">Hi all,

     We are working on threath management system using snort +
logsnorter + syslog servers, but the core is snort.
    </pre>
          </blockquote>
          <pre wrap=""><!---->
<snip>

  </pre>
         
          <blockquote type="cite">
            <pre wrap="">     I need know , how find the relation between the event and the
set of rules that trigger it event.
           
    </pre>
          </blockquote>
          <pre wrap=""><!---->
Is the question "which specific rule was triggered by a specific
event" ie: alert?

cd /wherever_your_snort_rules_are/
grep 'insert_phrase_from_alert' *

To wit:

[**] [1:0:0] TCP inbound to 80 http [**]
[Priority: 0]
04/21/03-18:07:00.234228 12.84.131.147:1894 -> 12.82.133.136:80
TCP TTL:120 TOS:0x0 ID:14681 IpLen:20 DgmLen:48 DF
******S* Seq: 0xDEEB0032  Ack: 0x0  Win: 0x2238  TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK

[toot@...8592... /storage/snort]$ grep 'inbound to 80' *
tcp191-local.rules:alert tcp $EXTERNAL_NET any -> $HOME_NET 80
 (msg:"TCP inbound to 80 http";)



- John
  </pre>
          <pre wrap=""><hr size="4" width="90%">
****** Message from InterScan E-Mail VirusWall NT ******

** No virus found in attached file noname.htm

Este correo ha sido revisado y esta libre de virus. Disclaimer
*****************     End of message     ***************

  </pre>
        </blockquote>
        <br>
      </blockquote>
      <pre wrap=""><hr size="4" width="90%">
****** Message from InterScan E-Mail VirusWall NT ******

** No virus found in attached file noname.htm

Este correo ha sido revisado y esta libre de virus. Disclaimer
*****************     End of message     ***************

  </pre>
    </blockquote>
    <br>
  </blockquote>
  <pre wrap="">
<hr width="90%" size="4">
****** Message from InterScan E-Mail VirusWall NT ******

** No virus found in attached file noname.htm
** No virus found in attached file correlation.jpg

Este correo ha sido revisado y esta libre de virus. Disclaimer
*****************     End of message     ***************

  </pre>
</blockquote>
<br>
</body>
</html>