Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 17 replies
  • Subscribers 0 subscribers
  • Views 6425 views
  • Users 0 members are here
Options
Suggested

[9.171][QUESTION] rules ips

simby
Why do Sophos have so litel signiture? On pfsense with snort, i have 5 times more, with all optios (Oracle, user agent, netbios,apache, ntp, ftp, smtp,..., .).
  • 0
    just mark "Add extra warnings" as described on top of the window [;)]

    [HTML]Add extra warnings: When this option is activated, the group will also include rules which are used for warning-purposes only. These rules may potentially cause false alarms, so they are not included by default.[/HTML]

    regards
    mod
  • 0
    Hi, that doesn't set all rules to drop.

    BTW, considering the # of false positives, I don't agree that setting all rules to drop is wise.

    Barry
  • 0
    Hi Barry,

    I've just answered simbys question [;)] Why do you think that these setting not set all rules to drop? I'm absolutly at your site if you say that this is not wise.

    regards
    mod
  • 0
    Hi,

    afaik, those 'extra warnings' are ALERTS, not DROPs.

    Barry
  • 0
    Hi Barry,

    I think with this marker, I just add the warnings to the group. The selected action is authoritative for the whole group.

    maybe I'm wrong

    mod
  • 0
    Hi!

     i don t see any rules update from 12-12-2013 fronm snort.org. I have the same rules id, from last month.

    New rules on snort:

    Snort :: Changes 2013-12-12
    New Rules:

     * 1:28907  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28908  ENABLED  SERVER-OTHER Nagios core config manager tfpassword sql injection attempt (server-other.rules)
     * 1:28905  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28906  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28903  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28904  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28902  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
     * 1:28899  ENABLED  FILE-IDENTIFY eSignal .por file attachment detected (file-identify.rules)
     * 1:28894  ENABLED  FILE-IDENTIFY eSignal .ets file attachment detected (file-identify.rules)
     * 1:28896  ENABLED  FILE-IDENTIFY eSignal .quo file attachment detected (file-identify.rules)
     * 1:28897  ENABLED  FILE-IDENTIFY eSignal .sum file attachment detected (file-identify.rules)
     * 1:28900  ENABLED  FILE-IDENTIFY eSignal .sum file attachment detected (file-identify.rules)
     * 1:28901  ENABLED  FILE-IDENTIFY eSignal .ets file download request (file-identify.rules)
     * 1:28895  ENABLED  FILE-IDENTIFY eSignal .por file attachment detected (file-identify.rules)
     * 1:28898  ENABLED  FILE-IDENTIFY eSignal .ets file attachment detected (file-identify.rules)
     * 1:28912  DISABLED  SERVER-WEBAPP Joomla simple RSS reader admin.rssreader.php remote file include attempt (server-webapp.rules)
     * 1:28911  ENABLED  EXPLOIT-KIT Neutrino exploit kit initial outbound request - generic detection (exploit-kit.rules)
     * 1:28910  DISABLED  SERVER-WEBAPP mcRefer install.php arbitrary PHP code injection attempt (server-webapp.rules)
     * 1:28909  DISABLED  SERVER-WEBAPP OTManager ADM_Pagina.php remote file include attempt (server-webapp.rules)
    Modified Rules:

     * 1:28496  ENABLED  BROWSER-IE Microsoft Internet Explorer createRange user after free attempt (browser-ie.rules)
     * 1:28893  DISABLED  BROWSER-OTHER known revoked certificate for Tresor CA (browser-other.rules)
     * 1:20843  ENABLED  FILE-OTHER Interactive Data eSignal stack buffer overflow attempt (file-other.rules)
Unfiltered HTML