<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Hi another approach ............. are not firewalls ?</p>
<p><br>
</p>
<p>I can't believe all is open , zombie is a wide kind of possible activity and is not so easy as can be imagined.</p>
<p><br>
</p>
<p>firewalls and uncommon authorized port usage for example during the night but not only .............. . All other kind of traffic will be dropped by firewalls and this kind of log is important too.</p>
<p><br>
</p>
<p>a SIEM can perform this kind of check in automatic if not you'll have to create some scripts to inspect log files.</p>
<p><br>
</p>
<p><br>
</p>
<p>Alberto Colosi</p>
<p>IT Security & NetWork</p>
<p><br>
</p>
<br>
<br>
<div style="color: rgb(0, 0, 0);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> Paul Li <paul@...846....17768...><br>
<b>Sent:</b> Thursday, February 16, 2017 5:32 AM<br>
<b>To:</b> snort-users@lists.sourceforge.net<br>
<b>Subject:</b> [Snort-users] Zombie detection rules</font>
<div> </div>
</div>
<div>Is there any snort rule for zombies detection: to detect if the devices snort is monitoring are used as zombies. Or some rules that can detect large outgress traffic from a monitored device would also work.
<div><br>
</div>
<div>Thanks,</div>
<div>Paul</div>
</div>
</div>
</div>
</body>
</html>