thanks for your help Mike & Waldo<div><br></div><div>and I have another question about classification :</div><div>on snort site on search of this site (
<a href="http://www.snort.org/search">http://www.snort.org/search</a> ) we can search alerts that are in one classify that we search</div><div>I did search on all snort classify But I did not find any result  WHY?</div><div>
<span style="font-family:'Times New Roman';font-size:medium">inappropriate-content</span></div><div><span style="font-family:'Times New Roman';font-size:medium">successful-dos</span></div><div><span style="font-family:'Times New Roman';font-size:medium">successful-recon-largescale</span></div>
<div><span style="font-family:'Times New Roman';font-size:medium">icmp-event</span></div><div><span style="font-family:'Times New Roman';font-size:medium">not-suspicious</span></div><div><br></div><div><br>
</div><div>thanks <br><br><div class="gmail_quote">On Sun, Aug 26, 2012 at 9:01 AM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...843.....14940..." target="_blank">wkitty42@...14940...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 8/25/2012 17:01, Mike Hale wrote:<br>
> I'm sure those categories were created because, at the time of<br>
> creating, they were the best method of classifying alerts on a macro<br>
> level.  It's up to you, the rule author, to find one that best suits<br>
> your rule.<br>
<br>
</div>one must also understand that these were created "on the fly" in the past and<br>
only recently have they been expanded BUT they still use a level 1, 2 or 3<br>
rating where level 1 is the worst and level 3 is the least... in the past, there<br>
was also a level zero which was, AFAICR, what the built-in processors emitted...<br>
i know that this is one of the reasons why i undertook to rewrite the Guardian<br>
Active Response mod that many have used in conjunction with snort so as to have<br>
an automated response system that reacted to snort's alerts...<br>
<br>
i'll let the rest of the message alone for now... i don't know that i have<br>
anything really to add to it... the main thing is that one must learn what the<br>
*rules* are triggering on and one */must/* tune their snort installation to<br>
their network and its activities... a perfect example is protecting a network of<br>
users where there is no servers in place at all... generally speaking, and<br>
looking at it from many folks' POV, you would not run server rules in that case...<br>
<br>
but if you are like myself, you would because you would want to catch any<br>
unknown servers emitting traffic... there are two sides to the coin and many in<br>
the security industry only look at that traffic which affects their known<br>
services... so they don't catch the incessant attempts to connect to port 3306<br>
(as an example) when there is no port 3306 available on their networks... but my<br>
thinking is that anyone trying to connect to port 3306 is exhibiting nefarious<br>
and unwanted activity... if they lead off with attempts to connect to port 3306,<br>
what other ports are they going to be probing/attacking? why not catch them<br>
testing your home doorknob to see if it is unlocked and block them there before<br>
they get a chance to probe some other port and find it open to their attacks??<br>
<div class="HOEnZb"><div class="h5"><br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br></div>