Probably. I am not a programmer so I am unsure of the practicalities of implementing a dream :) WIth multiple unified files would it all be able to be processed into a single front end (i.e barnyard2 into a database for viewing in BASE or snorby)?<br>
<br><div class="gmail_quote">On 14 April 2011 09:10, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On 04/11/2011 01:15 PM, Kevin Ross wrote:<br>
> I am definitely not suggesting this should be done on the wire or by the<br>
> main Suricata processes. What I mean once suricata drops it to disk maybe it<br>
> could have a process to analyse and feed the alerts back into suricata to<br>
> have it output an alert in unified2. Sure once suricata has file_extract<br>
> options creating your own script to run things on the file is easy but<br>
> suricata could do it straight out (or at least have it pass off). This way<br>
> those users who are not sure of the actual benefits or how to analyse files<br>
> on disk to detect malware and stuff don't have to think about it. Examples<br>
> of what could be done:<br>
<br>
</div>So you're suggesting a way to have Suricata somehow accept "alerts" from<br>
3rd party tools that it then can write to unified2?<br>
<br>
Wouldn't it make more sense to have that tool write it's own unified2 file?<br>
<div class="im"><br>
> - Scan file with clamav<br>
> - Check for suspicious IATs such as ones checking for debuggers or other<br>
> stuff and the ability to possible threshold against a score. That way<br>
> suricata rather then generate an alert for every executable, suspicious<br>
> executables can be alerted on only (which with the right tuning could even<br>
> help zero in on unknown malware samples).<br>
> - Alerting on file type mismatches i.e server claims to send an image and<br>
> yet suricata is carving out an exe from the stream or carving flash out of<br>
> an excel file like the recent vulnerability (I guess this one could possibly<br>
> be handed by suricata itself if a user wanted such alerts).<br>
<br>
</div>This is actually a planned feature. It's being developed for a 3rd party<br>
contract, but as soon that is completed the code will flow into Suricata.<br>
<div class="im"><br>
> My point is while making up your own scripts to do stuff (run clamav,<br>
> jsunpack etc on files) it is nice to have it handle it by default (if you<br>
> wanted it) and means more users who are learning or unsure how to take<br>
> advantage of file carving or why you would want to could benefit from it.<br>
<br>
</div>I see the use for this, I'm just still not convinced Suricata should do<br>
much more than drop the file to disk.<br>
<div><div></div><div class="h5"><br>
Cheers,<br>
Victor<br>
<br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div></div></blockquote></div><br>