<div dir="ltr"><div><div><div><div><div>Hello all,<br><br></div>My DMZ are behind Firewall also.<br></div>So, all your points is point me to have dedicated suricata not on VMware?<br></div>In my case should i use Suricata or Snort better?<br></div>Any help is appreciated,<br><br></div>Regards,<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 19 May 2015 at 03:07, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
I'll agree with this.  We monitor multiple DMZ vlans and see 300k-1+<br>
million ET alerts per 24-hour cycle.  This makes separating the signal<br>
from the noise difficult.<br>
<br>
Ideally you would want to deploy suricata as part of a "full-stack"<br>
defense-in-depth deployment and have it deployed behind your<br>
firewall/proxy architecture.<br>
<br>
I understand many people want to "see everything", but at this point its<br>
a given that your DMZ is going to attacked 24x7.<br>
<br>
- -Coop<br>
<span class=""><br>
On 5/18/2015 1:46 AM, Christophe Vandeplas wrote:<br>
> I would recommend to use that functionality to your advantage, and<br>
> eliminate a LOT of the incoming traffic/noise.<br>
> From my experience detecting APTs is usually done by finding outbound<br>
> traffic (CnC), and traffic attacking your DMZ systems (published<br>
> services). So the less noise the better, and the more time you can<br>
> spend to do manual analysis of the alerts you will be getting.<br>
<br>
<br>
</span>- --<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ACT Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
<br>
iQEcBAEBAgAGBQJVWkZuAAoJEKIFRYQsa8FW2mYH/RaJxEmtLUXzJWAQc5ecuIXO<br>
TMDzJ1GBgn1FHKJ7PNK1jEwUQ+IE5UxlZCc49pVulyjqOSXdOi3PVvi4hpxQ9Vi1<br>
Gphq1AqGd5I79TEP8g0MscHJ43iQ2JdXeqfhVoJh38m+EN50FvSmZ98+53Tb29WK<br>
A6nCIucjcU3IUbAGK5Pwp/ErGRlytwufuKBaplB5fa/QIS1gpY5T6dXuis7ZSUAZ<br>
RogqmPAR0SzSYbuDG61l5OkaqKBlzptU9Z24zn/5GIG5mngyWM2JEzV5pk0mEfqi<br>
B7lwUDwrIWIB8Pg0FJ5iJI5y7MDJIwzgCyNQIG9fewwUnXkHRMxOuCcSiG4QNCY=<br>
=QrPZ<br>
-----END PGP SIGNATURE-----<br>
</blockquote></div><br></div>