<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; "><div>Kevin and Waldo, you gents are treasures…I will get to work and report my results…thank you much!</div><div><br></div><div>james</div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> Kevin Ross <<a href="mailto:kevross33@...14012...">kevross33@...14012...</a>><br><span style="font-weight:bold">Date: </span> Thu, 7 Oct 2010 17:55:43 +0100<br><span style="font-weight:bold">To: </span> James Lay <<a href="mailto:jlay@...14553.....">jlay@...13475...</a>>, Snort <<a href="mailto:snort-users@...7287....sourceforge.net">snort-users@lists.sourceforge.net</a>><br><span style="font-weight:bold">Subject: </span> Re: [Snort-users] Fine tuning Snort<br></div><div><br></div>Well what you can do is:<br><br>- Use threshold.conf to supress alerts entirely from certain sources or destinations and limit the amount of alerts it will fire too. Read the examples in threshold.conf and put them in your enviroment. If there is specific sources and destinations you can filter this way<br><br>- Use oinkmaster or pulled pork to disable and enable rules from VRT and <a href="http://emergingthreats.net">emergingthreats.net</a> that you need. Just start by not including rules files for things you do not have and then go through the rules files taking down the sids to disable and then have oinkmaster or pulled pork scheduled by cron to run an update. <br><br>also, the shellcode sigs aren't very reliable as they are extremely FP prone. Emergingthreats is rules you want to use as well, purely because of the IP lists (russian business network, botnet control servers & compromised hosts) and malware sigs (a lot of research into that). Vulnerability wise the ET rules more complement the VRT rules (personally I get more hits off the ET rules but that is purely because a lot of malware is out there so you pick up infected clients trying to reach control servers and so on). A targeted attack it may be the VRT rules that do the actual detection so best cover threats to your enviroment, vulnerabilities and such but I think malware is a threat to everybody. Though on a side note emergingthreats is releasing a full ruleset which has all the normal rules but also has a paid part which provides coverage for all vulnerabilities and you choose what is important <a href="http://www.emergingthreatspro.com/">http://www.emergingthreatspro.com/</a> though that coverage is paid but the emergingthreatspro stuff is completely free and worth a look as we do try and compliment the VRT rulesets with mostly malware but some vulnerabilities and things, though it is more amatuers rather than professionals and only now is the rules getting performance checked, improved etc by the pro part of the setup to improve the quality of the ruleset.<br><br>Really a choice based on your needs but a well tuned environment covering everything that effects you is a good approach. <br><br>Hope this helps, Kevin<br><br><div class="gmail_quote">On 7 October 2010 17:26, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475...">jlay@...13475...</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello All.<br><br>
So I'm needing to fine tune snort a bit.  I get a high amount of FP's on<br>
things like:<br><br>
Emails with .jpg's:<br>
[1:12798:3] SHELLCODE base64 x86 NOOP [**] [Classification: Executable<br>
Code was Detected]<br><br>
exe downloads from Windows Updates:<br>
[1:15306:4] WEB-CLIENT Portable Executable binary file transfer<br>
[1:2000419:12] ET POLICY PE EXE or DLL Windows file download<br><br>
I'd rather not just comment out these rules....what are other folks doing<br>
to minimize FP's?  Thank you.<br><br>
James<br><br><br><br>
------------------------------------------------------------------------------<br>
Beautiful is writing same markup. Internet Explorer 9 supports<br>
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
Spend less time writing and  rewriting code and more time creating great<br>
experiences on the web. Be a part of the beta today.<br><a href="http://p.sf.net/sfu/beautyoftheweb" target="_blank">http://p.sf.net/sfu/beautyoftheweb</a><br>
_______________________________________________<br>
Snort-users mailing list<br><a href="mailto:Snort-users@...5870....net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></span></body></html>