Me agrees it's a firewall job, just tried to see if a NIST coul do anything about it, since seems to me lots of cases could be simply (extremely) larger traffic than usual. But agree SIEM would also be a better option.<div><br></div><div>Thanks,</div><div>Paul<br><div><br></div><div><br>On Thursday, February 16, 2017, Luke Ager <<a href="mailto:luke.ager@...14399...">luke.ager@...14399...</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>I'll second this. It would be easier to use network devices as log sources such as Netflow and connection logs to determine patterns. </div><div>Clearly good egress filtering is a priority and then base lining of permitted ports. </div><div><br></div><div>If you have specific hosts in mind and the scope is small you could consider an endpoint agent also which includes network monitoring. LogRyhthms end point agent will support this. </div><div><br></div><div>Failing that, arbour who are known for DDOS protection offer a product which uses snort but also integrates with their ddos threat intel. They have some techniques to detect zombies but it's based on their intelligence. </div><div><br></div><div><br><br>Sent from my iPhone</div><div><br>On 16 Feb 2017, at 09:00, Alberto Colosi <<a href="javascript:_e(%7B%7D,'cvml','alcol@...125...');" target="_blank">alcol@...979...125...</a>> wrote:<br><br></div><blockquote type="cite"><div>





<div style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif" dir="ltr">
<p>Hi another approach ............. are not firewalls ?</p>
<p><br>
</p>
<p>I can't believe all is open , zombie is a wide kind of possible activity and is not so easy as can be imagined.</p>
<p><br>
</p>
<p>firewalls and uncommon authorized port usage for example during the night but not only .............. . All other kind of traffic will be dropped by firewalls and this kind of log is important too.</p>
<p><br>
</p>
<p>a SIEM can perform this kind of check in automatic if not you'll have to create some scripts to inspect log files.</p>
<p><br>
</p>
<p><br>
</p>
<p>Alberto Colosi</p>
<p>IT Security & NetWork</p>
<p><br>
</p>
<br>
<br>
<div style="color:rgb(0,0,0)">
<hr style="display:inline-block;width:98%">
<div dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> Paul Li <<a href="javascript:_e(%7B%7D,'cvml','paul@...17768...');" target="_blank">paul@...5975...768...</a>><br>
<b>Sent:</b> Thursday, February 16, 2017 5:32 AM<br>
<b>To:</b> <a href="javascript:_e(%7B%7D,'cvml','snort-users@lists.sourceforge.net');" target="_blank">snort-users@...3783...<wbr>net</a><br>
<b>Subject:</b> [Snort-users] Zombie detection rules</font>
<div> </div>
</div>
<div>Is there any snort rule for zombies detection: to detect if the devices snort is monitoring are used as zombies. Or some rules that can detect large outgress traffic from a monitored device would also work.
<div><br>
</div>
<div>Thanks,</div>
<div>Paul</div>
</div>
</div>
</div>


</div></blockquote><blockquote type="cite"><div><span>------------------------------<wbr>------------------------------<wbr>------------------</span><br><span>Check out the vibrant tech community on one of the world's most</span><br><span>engaging tech sites, <a href="http://SlashDot.org" target="_blank">SlashDot.org</a>! <a href="http://sdm.link/slashdot" target="_blank">http://sdm.link/slashdot</a></span></div></blockquote><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>Snort-users mailing list</span><br><span><a href="javascript:_e(%7B%7D,'cvml','Snort-users@lists.sourceforge.net');" target="_blank">Snort-users@...3783...<wbr>net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></div></blockquote></div></div>