<div dir="ltr"><div dir="ltr">Hi Bjørn,</div><div dir="ltr"><br></div><div>NSM stands for Network Security Monitoring and if i understand it correctly, its function is to monitor any malicious traffic. Please correct me if i am understanding it completely wrong. </div><div><br></div><div>Thanks in Advance.</div><div><br></div><div>Best Regards,</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 7, 2019 at 8:13 PM <a href="mailto:bjorn@ruberg.no">bjorn@ruberg.no</a> <<a href="mailto:bjorn@ruberg.no">bjorn@ruberg.no</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><br><div style="line-height:1.5">Kaushal,</div><div style="line-height:1.5"><br></div><div style="line-height:1.5">To answer your question we need to know what you mean by NSM and what you want it to do. </div><div style="line-height:1.5"><br>-------- Original Message --------<br>Subject: Re: [Oisf-users] Configure IPS and NSM in Suricata.<br>From: Kaushal Shriyan <u></u><br>To: Bjørn Ruberg <u></u><br>CC: Open Information Security Foundation <u></u><br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><blockquote class="gmail-m_3727068266645440170quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail-m_3727068266645440170elided-text"><div dir="ltr">On Wed, Apr 3, 2019 at 12:05 AM Bjørn Ruberg <<a href="mailto:bjorn@ruberg.no" target="_blank">bjorn@ruberg.no</a>> wrote:<br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 02.04.2019 15:46, Kaushal Shriyan wrote:<br>> <br>> On Mon, Apr 1, 2019 at 11:58 AM Bjørn Ruberg <<a href="mailto:bjorn@ruberg.no" target="_blank">bjorn@ruberg.no</a><br>> <mailto:<a href="mailto:bjorn@ruberg.no" target="_blank">bjorn@ruberg.no</a>>> wrote:<br>> <br>>     On 01.04.2019 07:44, Kaushal Shriyan wrote:<br>>     ><br>>     ><br>>     > On Sun, Mar 31, 2019 at 7:26 AM Kaushal Shriyan<br>>     > <<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a> <mailto:<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a>><br>>     <mailto:<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a> <mailto:<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a>>>><br>>     wrote:<br>>     ><br>>     ><br>>     ><br>>     >     On Sat, Mar 30, 2019 at 9:14 PM Kaushal Shriyan<br>>     >     <<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a> <mailto:<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a>><br>>     <mailto:<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a> <mailto:<a href="mailto:kaushalshriyan@gmail.com" target="_blank">kaushalshriyan@gmail.com</a>>>><br>>     wrote:<br>>     ><br>>     >         Hi,<br>>     ><br>>     >         I am running Suricata 4.1.3 on CentOS Linux release 7.6.1810<br>>     >         (Core) and have configured Suricata in IDS mode. I will<br>>     >         appreciate if you can help me to configure IPS and NSM in<br>>     Suricata.<br>> <br>>     Did you take a look at<br>> <br>>     <a href="https://home.regit.org/2012/09/new-af_packet-ips-mode-in-suricata/" target="_blank">https://home.regit.org/2012/09/new-af_packet-ips-mode-in-suricata/</a><br>> <br>>     and<br>> <br>>     <a href="https://suricata.readthedocs.io/en/suricata-4.1.3/setting-up-ipsinline-for-linux.html" target="_blank">https://suricata.readthedocs.io/en/suricata-4.1.3/setting-up-ipsinline-for-linux.html</a><br>> <br>> <br>> <br>> Hi Bjørn,<br>> <br>> Thanks a lot Bjørn for the email and I could configure IPS and test it<br>> using drop rules. It worked like a charm. Is there a way to enable NSM (<br>> Network Security Monitoring) in Suricata which is currently configured<br>> for both IDS and IPS mode?<br>
<br>What do you need from an NSM, just packet capture?<br>
<br>NSM functions are somewhat documented here:<br>
<br>
<a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/NSM_runmode" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/NSM_runmode</a><a href="https://suricata-ids.org/training/" target="_blank">/</a></blockquote><div><br></div><div>Thanks a lot Bjørn for the email. I am not sure about NSM feature in Suricata. What is it used for and how does it help us. Are there any benefits of NSM features available in Suricata? I was correlating it to Nagios Monitoring system (<a href="https://www.nagios.org/" target="_blank">https://nagios.org</a>). </div><div><br></div><div>Please comment. Thanks in Advance.</div><div><br></div><div>Best Regards,</div><div><br></div><div>Kaushal</div></div></div>
</blockquote></blockquote><u></u><u></u><u></u></div>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>