On Mon, Jan 31, 2011 at 3:19 PM, Matthew Jonkman <span dir="ltr"><<a href="mailto:jonkman@emergingthreatspro.com">jonkman@emergingthreatspro.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div style="word-wrap:break-word"><br><div><div class="im"><div>On Jan 31, 2011, at 2:45 PM, Joel Esler wrote:</div><br><blockquote type="cite">Just to be clear, the underscores/dashes thing is not a Snort thing (well not entirely, I didn't look into it as far as Snort was concerned), it's an output plugin problem.  By using dashes it maintains compatibility with all output systems currently in place.  (Barnyard, barnyard2, flop, etc)  It's the format that's been in place since the beginning, and it's an easy fix to <i>not</i> break everything.</blockquote>
<div><br></div></div><div>Thanks Joel, that helps clarify.</div><div><br></div><div>So does an underscore *break* these tools, or just not the norm for them?</div><div class="im"><div><br></div><br></div></div></div></blockquote>
<div>We didn't test them all.  However, "not the norm" breaks things.  We've found this out the hard way before.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div style="word-wrap:break-word"><div><div class="im"><blockquote type="cite"><div>On the other hand, there was a lot of conversation regarding just redesigning the whole classification system to be more dynamic and not static.  I think this gets farther in the longer term and allows for a much more flexible system.</div>

<div><br></div></blockquote><div><br></div></div><div>Ya, we'll have this on the agenda for the OISF too and share the thoughts with all. Definitely long term, but we have the funding in OISF to "do good things for IDS", and this could fit in there!</div>
</div></div></blockquote><div><br></div><div>Well, I don't have any insight into OISF at all, but, we'd like to sit down and come up with an acceptable solution, however, we are currently working on several huge projects and so this project is one on a list of many.  To be able to have it integrate into several tools is a goal.</div>
<div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div style="word-wrap:break-word"><div><div><br></div><div>Matt</div><br><blockquote type="cite">
<div><div></div><div class="h5"><div>Joel<br><div><br><div class="gmail_quote">On Mon, Jan 31, 2011 at 2:28 PM, Matthew Jonkman <span dir="ltr"><<a href="mailto:jonkman@emergingthreatspro.com" target="_blank">jonkman@emergingthreatspro.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">As you may recall, Alienvault (<a href="http://www.alienvault.com/" target="_blank">http://www.alienvault.com</a>), the home of OSSIM, has very generously offered to the snort and suricata communities the classification system they've developed to better categorize and react to IDS events. We're excited about this, especially in suricata, and we have already begun the changes required to allow us at Emerging Threats Pro and Emerging Threats Open to distribute the rulesets in both forms.<br>


<br>
We had called an end to comments by Jan 12, but discussion has continued mostly privately. A few points to iron out yet:<br>
<br>
1. Sourcefire has proposed to change all underscores to dashes.<br>
I feel the underscores are an important differentiator. But older snort's may not handle that well. Suricata will handle them fine. But having differing systems is going to be a challenge of course.<br>
<br>
2. Sourcefire also proposes to lower-case everything.<br>
Shouldn't be a big deal if no one objects.<br>
<br>
3. We also need to assign priorities to the events. Sourcefire in the link below has proposed how they might look. We need feedback there.<br>
Perhaps we put up a simple web app to let folks go through and prioritize and we can take the average over a few weeks of input?<br>
<br>
-----------<br>
<br>
Initial posts are here:<br>
<a href="http://blog.emergingthreatspro.com/2010/12/new-classification-system-proposal.html" target="_blank">http://blog.emergingthreatspro.com/2010/12/new-classification-system-proposal.html</a><br>
<br>
and here:<br>
<a href="http://blog.snort.org/2011/01/classification-comments.html" target="_blank">http://blog.snort.org/2011/01/classification-comments.html</a><br>
<br>
The actual system is here as proposed by Alienvault:<br>
<br>
<a href="http://www.emergingthreats.net/new_classifications_v1.txt" target="_blank">http://www.emergingthreats.net/new_classifications_v1.txt</a><br>
<br>
And a version proposed by Sourcefire.<br>
<a href="http://www.snort.org/assets/157/classifications.txt" target="_blank">http://www.snort.org/assets/157/classifications.txt</a><br>
<br>
-----------<br>
<br>
I propose these steps as a way forward:<br>
<br>
1. Lets get more feedback on the lists (the snort lists, the oisf lists, and the emerging lists).<br>
<br>
2. We have an OISF brainstorming session at RSA in a week and a half (<a href="http://www.openinfosecfoundation.org/index.php/component/content/article/34-general-content/109-the-next-oisf-brainstorming-meeting" target="_blank">http://www.openinfosecfoundation.org/index.php/component/content/article/34-general-content/109-the-next-oisf-brainstorming-meeting</a>)<br>


This is on the agenda there, lets get some more discussion and we will summarize this on the lists<br>
<br>
Lets call the End of February the final date, adopt an official classification.conf and move forward!<br>
<br>
Matt<br>
<br>
<br>
<br>
----------------------------------------------------<br>
Matthew Jonkman<br>
<a href="http://Emergingthreats.net" target="_blank">Emergingthreats.net</a><br>
Emerging Threats Pro<br>
Open Information Security Foundation (OISF)<br>
Phone 765-807-8630<br>
Fax 312-264-0205<br>
<a href="http://www.emergingthreatspro.com/" target="_blank">http://wwwemergingthreatspro.com</a><br>
<a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org</a><br>
----------------------------------------------------<br>
<br>
PGP: <a href="http://www.jonkmans.com/mattjonkman.asc" target="_blank">http://www.jonkmans.com/mattjonkman.asc</a><br>
<br>
<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Special Offer-- Download ArcSight Logger for FREE (a $49 USD value)!<br>
Finally, a world-class log management solution at an even better price-free!<br>
Download using promo code Free_Logger_4_Dev2Dev. Offer expires<br>
February 28th, so secure your free ArcSight Logger TODAY!<br>
<a href="http://p.sf.net/sfu/arcsight-sfd2d" target="_blank">http://p.sf.net/sfu/arcsight-sfd2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Joel Esler<div><a>Skype:eslerjoel</a></div><div><a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> && <a href="http://blog.clamav.net/" target="_blank">http://blog.clamav.net</a></div>

<br>
</div></div>
------------------------------------------------------------------------------<br>Special Offer-- Download ArcSight Logger for FREE (a $49 USD value)!<br>Finally, a world-class log management solution at an even better price-free!<br>
Download using promo code Free_Logger_4_Dev2Dev. Offer expires <br>February 28th, so secure your free ArcSight Logger TODAY! <br><a href="http://p.sf.net/sfu/arcsight-sfd2d_______________________________________________" target="_blank">http://p.sf.net/sfu/arcsight-sfd2d_______________________________________________</a><br>
</div></div>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br></blockquote></div><div class="im"><br><div>
<span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:auto;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;font-size:medium"><span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<span style="border-collapse:separate;color:rgb(0, 0, 0);font-family:Helvetica;font-size:medium;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="word-wrap:break-word">
<br>----------------------------------------------------<br>Matthew Jonkman</div><div style="word-wrap:break-word"><a href="http://Emergingthreatsnet" target="_blank">Emergingthreats.net</a><br>Emerging Threats Pro<br>Open Information Security Foundation (OISF)<br>
Phone 765-807-8630<br>Fax 312-264-0205<br><a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br><a href="http://www.openinfosecfoundation.org" target="_blank">http://www.openinfosecfoundation.org</a><br>
----------------------------------------------------<br><br>PGP: <a href="http://www.jonkmans.com/mattjonkman.asc" target="_blank">http://www.jonkmans.com/mattjonkman.asc</a><br><br><br></div></span></div></span></div></span></span>
</div>
<br></div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler<div>Skype:eslerjoel</div><div><a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> && <a href="http://blog.clamav.net" target="_blank">http://blog.clamav.net</a></div>
<br>