Hi,<br><br>I would like to know if snort can handle the response packets from an attack? As exemple for a web attack :<br><br>If a "XSS attempt" rule match, i want to get another snort alarm based on HTTP response code like "200 OK", "403 Forbidden", "404 Not found" linked to the first alarm (XSS).<br>
<br>I don't want to create a "200 OK" rule because it will match all web trafic; but I want to create a rule that will only match traffic/response regarding the attack.<br><br>This 2nd alarm can help me to see if the attack is a success or not in my SIEM (with correlation rules).<br>
<br>Thanks for help/feedbacks,<br><br>Thibault.<br>