<div dir="ltr"><div><div><div>I am not sure about Suricata but you could try this <a href="https://github.com/gamelinux/passivedns">https://github.com/gamelinux/passivedns</a><br><br></div>Using this you get a web interface to query the domain database & it can generate alert files on blacklists of files for matches, regular expressions etc. The negative though with it being DNS you will not see if traffic went there and where so it isn't as granular as in showing you where the stuff is matching.<br>
<br>A way for doing this is to use BRO-IDS and the intel framework <a href="http://blog.bro.org/2014/01/intelligence-data-and-bro_4980.html">http://blog.bro.org/2014/01/intelligence-data-and-bro_4980.html</a>. It has an odd format but there is a tool which lets you pull down many lists and using that you can match IPs, domains, MD5s, SSL certs etc. Basically you can see the IPs being flagged from connection logs, the domain in the HTTP logs etc.<br>
<br></div>Then use ELSA <a href="https://code.google.com/p/enterprise-log-search-and-archive/">https://code.google.com/p/enterprise-log-search-and-archive/</a> or something like Splunk/SIEM to alert on this data.<br><br></div>
Hope that is helpful. Regards,<br>Kevin<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 11 March 2014 13:22, mikael vingaard <span dir="ltr"><<a href="mailto:mikaelvingaard@gmail.com" target="_blank">mikaelvingaard@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Hello oisf-users,<br><br></div>This is my first posting on this list, I have looked in FAQ/Google but can't find<br>
what I am looking for, please point me in the right direction if my question are <br>
already documented somewhere.<br><br></div><div>I would like to use a large list of domains (100+) to block/alert in Suricata.<br><br></div><div>Using a rule with {domain1,domain2,domain3} would be too cumbersome,<br></div>

<div></div><div>but I has found a method of blocking MD5 sums (source <a href="http://blog.inliniac.net/2012/06/09/suricata-md5-blacklisting/" target="_blank">http://blog.inliniac.net/2012/06/09/suricata-md5-blacklisting/</a>)<br>
</div><div>
-almost similar to what I would like to achieve with domains.<br><br></div><div>Could someone assist me in writing a similar rule with domains<br><br></div><div>Many thanks in advance for any feedback/input.<span class="HOEnZb"><font color="#888888"><br>
<br></font></span></div><span class="HOEnZb"><font color="#888888">
<div>Mikael<br></div><div><br></div></font></span></div>
<br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br></blockquote></div><br></div>