<div dir="ltr"><div><div><div>Palo Alto's APPID is nothing but a classification system to be-able to group applications and thus make blocking more absolute.  Its a great idea, but Snort has just launched OpenAPPID.  I am certain that Suricata will be able to support the same in the next few months.  Again though, its purely a classification system, and in many instances muddies the waters quite a bit. <br><br></div>I am not testing the firewalling functionality of the Palo Alto.  This is a direct comparison between the Suricata IPS engine and the Palo Alto IPS engine.  <br><br></div>The results are interesting to say the least.  I will submit my findings in Word Doc format if that's okay, as it makes it easier for me to capture the pictorial type results out of Acunetix and OPENVAS.  <br><br></div>The results will be in, in the next couple of days.  Will share them at that point.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 20, 2015 at 11:47 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Have you been able to emulate the next-generation firewall features<br>
(App-ID) of the Palo Alto's on suricata yet?<br>
<br>
This isn't a criticism as I like both products, but AFAIK suricata isn't<br>
a firewall.<br>
<br>
- -Coop<br>
<div><div class="h5"><br>
On 3/20/2015 10:38 AM, None None wrote:<br>
> I am currently doing a comparative side by side test between Suricata<br>
> and Palo Alto, and I would very much like to share the results of the<br>
> tests in a manner that other users can see the outcomes.<br>
><br>
> Palo Alto is sold to be the silver bullet of network protection, however<br>
> my experience thus far has been that Suricata decimates the Palo Alto I<br>
> am testing in terms of detection accuracy and blocking of attacks.<br>
><br>
> What is the best way for me to submit my findings?<br>
><br>
> Thank you,<br>
><br>
> Neo.<br>
><br>
><br>
</div></div>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/training/</a><br>
><br>
<br>
<br>
- --<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ACT Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
<br>
iQEcBAEBAgAGBQJVDJVnAAoJEKIFRYQsa8FWUNoH/R23UCyUwRywBOnwUF7zrp9C<br>
1b64KKkKH2XefvYnAK2l+THCguP5t2S71kboxO/yv89GKRa+f1RbWcbnAODoe3ij<br>
nz/kypzExBKma8Ng/b4M9hzmPGlqC78aL5F9HLk0rKkyTfjpKt2ojrsx6CXvjFL/<br>
mp+6CMTXBACqL8c8uEWviyp5V6pkKu8xoNcufMUWP0kx0h1kb+UwEz7KebslMF0O<br>
diEP41k+XgITyXcRpGn9vrsNU48h6Qyvapsb8wL/bPIr8s9hMA6KL1MOWeKQMA9n<br>
wldqdAQYBTN9tNjTv2sfR6UGQITLj4k/HXhdgwSC1ORvVuAwH3FPnbuldFHxQ9E=<br>
=c1tJ<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div><br></div>