<div dir="ltr">All those suggestions seem good, but they are moving fairly close to what SIEM solutions and data analysis / aggregation / coorelations systems should (in my mind) be handeling. Threat Intel such as domain / ip rep can change suddenly (say its lunch time, and you recive some new IOCs), and you dont want to reboot suricata (if the implementation would imply that was needed), and you would (as you often do) want to look retrospetivly for previous incidents on earlier unkown IOCs.<div><br></div><div>Keywords for time of day would be nice, but there would have to be alot of time put into how this was implemented, seing that many users are multinational, and spread over many timezones, but using one central signature management solution. Maybe if you had "alert-on:!work-hours" and work-hours was defined as a variable (in the same way as network variables) in the configuration.</div><div><br></div><div>Tracking user agents would maybe be abit dificult, changes so much, length pattern matching (performance), and so easily / rapidly changing. PCRE matches against elements found in this list: <a href="http://www.useragentstring.com/pages/Browserlist/">http://www.useragentstring.com/pages/Browserlist/</a> would be very performance draining on a high speed link.</div><div><br></div><div>Sorry for sounding so negative, but i really like were this talk i going, the potential future + innovating ideas =)<br><br>Things im thinking of (and some of these are in play) are:</div><div>- Integration with queue elements for output (say kafka) as well as input (maybe for domain/ip rep, as you mentioned, so that you can just "push" it out to the sensors)</div><div>- Multi tenancy (vlan / interface, seperate output logs)</div><div>- Periods of feature locks with focus on security testing and optimalization<br>- Integration with databased for direct output of say passive dns logging</div><div>- Configuration profiling vs observed stats reporting and suricata performance (not really sure how, just an idea i had, just as we have packet profiling, say "user starts suricata with config-profiling, lots of defraged packet are found causing memcap reach, and similar events, packet drops and so on, and this would be reported back in a report).</div><div>- Complementary live Suricata pet to the top developer of the year (maybe victor ++ could start a Zoo?)<br><br>/AndreasM</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-10-02 21:39 GMT+02:00 Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</span>Off the top of my head, a few things I would like to see:<br>
<br>
1.  Detect OS via User-Agent string and allow that to be referenced via<br>
a keyword in rules.  Something like "os:windows".<br>
<br>
2.  Detect new user-agent by source IP, while honoring the<br>
x-forwarded-for header for proxied traffic.<br>
<br>
3.  Allow keywords for time of day and src/destination country IP.<br>
<br>
4.  Some sort of domain reputation plugin, with local caching.  Ideally<br>
with the ability to keep a database of domain resolution per host, with<br>
the ability to alert on new domains, per host.<br>
<br>
5.   The ability to insert data from the behavioral analysis engine into<br>
the output of the ascii alert text.  So something like "msg:HTTP request<br>
for known-bad domain %DOMAIN".<br>
<br>
- -Coop<br>
<span class=""><br>
On 10/2/2015 11:21 AM, Leonard Jacobs wrote:<br>
> And would give Suricata the edge over many competing technology.<br>
><br>
> Leonard<br>
><br>
><br>
</span>>     ------------------------------------------------------------------------<br>
>     *From:* Cooper F. Nelson [mailto:<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a>]<br>
>     *To:* Leonard Jacobs [mailto:<a href="mailto:ljacobs@netsecuris.com">ljacobs@netsecuris.com</a>], Kelley Misata<br>
<span class="">>     [mailto:<a href="mailto:kelley@openinfosecfoundation.org">kelley@openinfosecfoundation.org</a>], oisf users<br>
>     [mailto:<a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a>]<br>
</span>>     *Sent:* Fri, 02 Oct 2015 11:32:58 -0600<br>
>     *Subject:* Re: [Oisf-users] New Post by OISF Board Member Randy Caldejon<br>
<span class="">><br>
> I've been doing behavioral analysis on suricata effectively for a few<br>
> years using custom rules and post-processing of the alert files.<br>
><br>
> This works well enough, but I will admit a more robust implementation<br>
> that includes some sort of scripting engine would be a fantastic<br>
> addition.<br>
><br>
> On 10/2/2015 7:03 AM, Leonard Jacobs wrote:<br>
>> Nicely done. Randy, glad to see I am not the only board member that<br>
>> believes behavioral analysis is needed in Suricata.<br>
><br>
>> I look forward to see everyone in Barcelona. It is going to be an<br>
>> exciting conference.<br>
><br>
>> Leonard Jacobs, MBA, CISSP, CSSA<br>
>> President/CEO<br>
>> Netsecuris Inc.<br>
>> P <a href="tel:952-641-1421%20ext.%2020" value="+19526411421">952-641-1421 ext. 20</a><br>
>> <a href="http://www.netsecuris.com" rel="noreferrer" target="_blank">http://www.netsecuris.com</a><br>
><br>
><br>
><br>
<br>
- --<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ACT Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
<br>
</span>iQEcBAEBAgAGBQJWDt2AAAoJEKIFRYQsa8FWAfIH/3HQZNdX6kFnNasDclGdeQek<br>
vvgjzaiXUtVwplpjqb5Bnte31AKHR9OKXrDHDpzVkAc5c5r6uFXW6rC6Iiu5Fd3E<br>
38EzAj1SR3PDOSwavExIo/R/t2gWrKYP3AYXBzmzfWkx29saIwGnFbku+H/7DQQj<br>
44Eykp/SfevRUNxBVM0lgcwctGpTTfxMIqRx7G0zNhz7vVhCvoyhypk769Xu5Qm/<br>
Z9kDodkZKQ5GkNujQBCPY0Ol4Nw0DsGBdrrlNoKXa5EKnWt6/X2iwjNpfm9t7yWS<br>
YfCO3XdFFtJV6usUYchbuXBHOPF0jp8+mKyZWYRBQwMwxXF0TejnQvw2gZOWdBc=<br>
=bBxK<br>
<div class="HOEnZb"><div class="h5">-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 4 & 5 in Barcelona: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
</div></div></blockquote></div><br></div>