<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Martin,</div><div><br></div><div>I added topic "Snort Instant Alert and Instant Action". </div><div><br></div><div>Thanks for any help,<br>Nick</div><div><br>On Feb 11, 2013, at 9:54 PM, Martin Holste <<a href="mailto:mcholste@...11827...">mcholste@...11827...</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">I'll speak up regarding ELSA, as the open source project owner.  You can monitor logs (like Snort alerts) very easily for generic things like "trojan" or "exploit kit" or more advanced queries which mix proxy logs with Snort alerts to find correlated alerts like: "user_agent:java groupby:srcip | subsearch(sig_msg:trojan)" and then send that to a connector, like email alerts, which is built-in.  You can also easily write your own plugin in a few lines of Perl (or whatever language you want, then invoke from Perl) to do more advanced things, like shutdown ports, login to web apps, etc.  If you want, you can post your specific use case over on the ELSA mailing list (<a href="http://enterprise-log-search-and-archive.googlegroups.com">enterprise-log-search-and-archive.googlegroups.com</a>) and I'll write the plugin for you.</div>

<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 7, 2013 at 11:11 AM, Nicholas Horton <span dir="ltr"><<a href="mailto:fivetenets@...14399..." target="_blank">fivetenets@...14399...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks Jeremy. Thanks James.<br>
<br>
I take a look at them.<br>
<br>
Nick<br>
<div class="HOEnZb"><div class="h5"><br>
On Feb 7, 2013, at 12:01 PM, "Lay, James" <<a href="mailto:james.lay@...843.....15009...">james.lay@...15009...</a>> wrote:<br>
<br>
> -----Original Message-----<br>
> From: Jeremy Hoel [mailto:<a href="mailto:jthoel@...11827...">jthoel@...11827...</a>]<br>
> Sent: Thursday, February 07, 2013 9:50 AM<br>
> To: Nicholas Horton<br>
> Cc: Michael Steele; Snort Users<br>
> Subject: Re: [Snort-users] Real Time Alert and Variables<br>
><br>
> You might want to check out ELSA and greylog.  We use greylog to get<br>
> emails from logs that go to it.  They are kind of  log viewers that<br>
> are both getting better.<br>
><br>
><br>
><br>
><br>
> WOTS (perl) and SEC (Simple Event Correlator) come to mind as well.<br>
><br>
> James<br>
><br>
> ------------------------------------------------------------------------------<br>
> Free Next-Gen Firewall Hardware Offer<br>
> Buy your Sophos next-gen firewall before the end March 2013<br>
> and get the hardware for free! Learn more.<br>
> <a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
------------------------------------------------------------------------------<br>
Free Next-Gen Firewall Hardware Offer<br>
Buy your Sophos next-gen firewall before the end March 2013<br>
and get the hardware for free! Learn more.<br>
<a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br></div>
</div></blockquote></body></html>