<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>It depends on the alerts you may get, for example:<BR> <BR>1. If get an alert for a malware, say ZeroAccess Trojan outbound connectin, in this case you want to:<BR>     a. identify the infected host in your network, find the proper tools to remove the Trojan.<BR>     b. identify how the Trojan got in and how to prevent it from happing again, that could be in the firewall, or finding a better AV.<BR>2. If you get an attemped web application attack (cmd.exe access) attempts, you may want to check the reference url from the rule, in this case you will have a Microsoft KB or security bulletin, identify the affected systems from their and compare to your environment. You may block the offending IP address if you see repeated attempts from the same.<BR> <BR>There is a whole lot to do than that, you need to define your response methodology, and over time, you will be able to cover much of the alerts you get.<BR> <BR>Hope this helps.<BR>YM<br> <BR><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">From: ThomisonL@...15885...<br>To: snort-users@...1753...s.sourceforge.net<br>Date: Thu, 29 Nov 2012 14:29:43 -0900<br>Subject: [Snort-users] newbq: snort working, getting hits,        got sig id's.  What now?<br><br>




<style><!--
.ExternalClass p.ecxMsoNormal, .ExternalClass li.ecxMsoNormal, .ExternalClass div.ecxMsoNormal
{margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New Roman";}
.ExternalClass a:link, .ExternalClass span.ecxMsoHyperlink
{color:blue;text-decoration:underline;}
.ExternalClass a:visited, .ExternalClass span.ecxMsoHyperlinkFollowed
{color:purple;text-decoration:underline;}
.ExternalClass span.ecxEmailStyle17
{font-family:Arial;color:windowtext;}
@page Section1
{size:8.5in 11.0in;}
.ExternalClass div.ecxSection1
{page:Section1;}

--></style>





<div class="ecxSection1">

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">Pardon the newbie question, butÖ</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">Iíve got snort up and running (via security onion
12.04), got latest vrt rules, etc.  Let it run overnight and now Iíve got
hits (surprise, surprise).  Iíve got sig idís for the first couple
of high event count hits I want to look at, but what now?  Where do I go next
or what do I do next to decide whether I have a problem or not?</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">Hereís the two sigs I want to use as trainers for
myself:</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">SIG ID</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">2102649            GPL SQL service_name buffer overflow
attempt</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">2102650            GPL SQL user name buffer overflow attempt</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">Where do I go to get more information on a sig id?</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">Now, in this case, the source ip is an old control systems
box sending data to a couple of oracle databases.  The source and dest IPís
correspond with the Ďrightí boxes.  So I suspect that this is
simply a result of the vendor or oracle (or both) being sloppy.  But how do I
confirm (or not) ?</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">FWIW googling showed lots of info on how to write rules, but
nothing on what to do after a hit.</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;">Thanks!</span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

<p class="ecxMsoNormal"><font size="2" face="Arial"><span style="font-family: Arial; font-size: 10pt;"> </span></font></p>

</div>




<br>------------------------------------------------------------------------------
Keep yourself connected to Go Parallel: 
TUNE You got it built. Now make it sing. Tune shows you how.
http://goparallel.sourceforge.net<br>_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!</div>                                      </div></body>
</html>