No I don't think so. If I was tracking flows so I do this:<br><br>1) I set flowbit for a client doing a GET for a PDF from an exploit kit (we aren't sure at this point because of the format if it is genuine so we noalert it<br>
2) Second Sig then checks flowbit and then sees PDF coming down so it alerts.<br>3) Third sig as you suggest checks both flowbits and generates an alert. However it would alert on the same thing as the second one or possibly a later packet (I think) as it can't back track and generate an alert for stage 1 as it is at a different part of the flow. However we may want to alert on stage 1 due to looking at websites, sources who may be participating in other parts of the activity (I know you can get logs for snort and suricata to see what sites and URI did stage 2 but stage 1 may have been on a different site.<br>
<br>Regards, Kev<br><br><br><div class="gmail_quote">On 25 November 2011 23:50, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On 11/25/2011 08:47 PM, Kevin Ross wrote:<br>
> actually that just gave me an idea for something that could be put into<br>
> Suricata and that is the option to set a flowbit in a kind of noalert state<br>
> for the second stage and then only if the second stage fires then an alert<br>
> is generated for the noalert type sig. That means in this case we would be<br>
> able to suppress noisy FP sigs but we then consider the second part (the<br>
> download) to be indicative of an exploit kit and so we may want to generate<br>
> an alert for the first part only if confirmed. So it is a noalert unless<br>
> the next sig fires then alert on this too.<br>
<br>
</div>This would be achieved by having both rules set a flowbit and then have<br>
a third rule check for both bits, right?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</font></span></blockquote></div><br>