<div dir="ltr">quick hack:<div>modify all rules with tag:session,x,[seconds,packets] and write to u2.</div><div><br></div><div>proper method, fullpcap:</div><div><a href="https://github.com/google/stenographer">https://github.com/google/stenographer</a><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 29, 2017 at 8:43 AM, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@googlemail.com" target="_blank">kevross33@googlemail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Hi, as well as other suggestions like moloch for packet capture you can use bro ids now just called bro at <a href="http://bro.org" target="_blank">bro.org</a>. <div dir="auto"><br></div><div dir="auto">it will create logs on various things and also if internal you can enable smb logging and a quick search for bro ids ransomware and detection and you will find papars and script for ransomware share encryption, lateral movement etc. You can use elastic search filebeat to fire them off into elasticsearch. </div><div dir="auto"><br></div><div dir="auto">It provides excellent info, file extraction and with a plugin of xor obfuscated files to of even large key lengths etc. It is great tool to support suricata for extra logging and detection but has benefit of smaller logs but logging plenty detail.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 29 Sep 2017 10:21 a.m., "Jean-Michel Pouré" <<a href="mailto:jm@poure.com" target="_blank">jm@poure.com</a>> wrote:<br type="attribution"><blockquote class="m_-7191365082116965561quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Le jeudi 28 septembre 2017 à 16:18 -0600, Francis Trudeau a écrit :<br>
> For the record, that IP is a true positive:<br>
> <a href="https://ransomwaretracker.abuse.ch/ip/209.99.40.222/" rel="noreferrer" target="_blank">https://ransomwaretracker.abus<wbr>e.ch/ip/209.99.40.222/</a><br>
<br></span>
Thanks.<br>
<br>
I noticed that too. It was 2 days ago. Around 3:00 in the morning, I<br>
had Trojan ransomware onion domain lookups. This looks like a series of<br>
DNS lookups.<br>
<br>
This is quite surprising, as my local network is mostly composed of<br>
security devices, including OpenBSD, FreeBSD and some Linux. It could<br>
be a downloading of a ban list followed by DNS queries.<br>
<br>
Anyway, even if this is a home network, I need to monitor more closely<br>
what is going on. Detecting threats is not enough. You also need to<br>
analyse the traffic and logs ...<span class=""><br>
<br>
Kind regards,<br>
Kellogs<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundati<wbr>on.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/suppor<wbr>t/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfound<wbr>ation.org/mailman/listinfo/<wbr>oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/train<wbr>ing/</a></span></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a><br></blockquote></div><br></div>