I'm really happy you took that detour, Victor!  We're doing something like that with Python, along with checks to a blacklist of md5's.  Would love to have this in Suricata!<div><br></div><div><br></div><div>marcos<br>
<br><div class="gmail_quote">On Thu, Feb 16, 2012 at 1:28 PM, James Pleger <span dir="ltr"><<a href="mailto:jpleger@gmail.com">jpleger@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I could also help writing some example apps and/or documentation on methods to use it.<div class="HOEnZb"><div class="h5"><br><br><div class="gmail_quote">On Thu, Feb 16, 2012 at 1:20 PM, Martin Holste <span dir="ltr"><<a href="mailto:mcholste@gmail.com" target="_blank">mcholste@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="border-left:1px solid rgb(204,204,204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">The first one: a growing single file or socket of JSON lines which a<br>
script can read from and execute actions based on.  I'd be happy to<br>
write such a script for plugins like CIF, Virustotal and <a href="http://malwr.com" target="_blank">malwr.com</a>.<br>
<div><div></div><div><br>
On Thu, Feb 16, 2012 at 12:17 PM, Victor Julien <<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>> wrote:<br>
> On 02/16/2012 05:59 PM, Martin Holste wrote:<br>
>> Regarding the Virustotal stuff, absolutely, though I don't think that<br>
>> should be OISF's job to code.  That's a great place to put a script to<br>
>> asynchronously handle the output from Suricata.  That's why a JSON<br>
>> output would be perfect for piping to something that can do all of the<br>
>> heavy-lifting and custom stuff in a script.  CIF, Virustotal, Cuckoo,<br>
>> DLP--those are all easy tasks if you've got an ever-growing JSON<br>
>> stream of md5's.<br>
><br>
> So this json stream would be a single log file / unix socket<br>
> continuously updated with the latest records? You script would just tail<br>
> it and do it's business?<br>
><br>
> Or are you looking for per file json files like how we do the .meta<br>
> files now?<br>
><br>
> --<br>
> ---------------------------------------------<br>
> Victor Julien<br>
> <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
> PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
> ---------------------------------------------<br>
><br>
> _______________________________________________<br>
> Oisf-devel mailing list<br>
> <a href="mailto:Oisf-devel@openinfosecfoundation.org" target="_blank">Oisf-devel@openinfosecfoundation.org</a><br>
> <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org" target="_blank">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
</div></div></blockquote></div><br>
</div></div><br>_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br></blockquote></div><br></div>