<div style="min-height:22px;margin-bottom:8px;"><br></div><div style="min-height:22px;margin-bottom:8px;"><br></div><span class="mail-footer" aria-hidden="true">·¢×ÔÎÒµÄiPhone</span><div id="original-content"><br><br><div><div style="font-size:70%;padding:2px 0;">------------------ Original ------------------</div><div style="font-size:70%;background:#f0f0f0;color:#212121;padding:8px;border-radius:4px"><div><b>From:</b> zeek-request &lt;zeek-request@zeek.org&gt;</div><div><b>Date:</b> Sat,Jul 13,2019 4:07 PM</div><div><b>To:</b> zeek &lt;zeek@zeek.org&gt;</div><div><b>Subject:</b> Re: Zeek Digest, Vol 159, Issue 14</div></div></div><br>Send Zeek mailing list submissions to<br>zeek@zeek.org<br><br>To subscribe or unsubscribe via the World Wide Web, visit<br>http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek<br>or, via email, send a message with subject or body 'help' to<br>zeek-request@zeek.org<br><br>You can reach the person managing the list at<br>zeek-owner@zeek.org<br><br>When replying, please edit your Subject line so it is more specific<br>than "Re: Contents of Zeek digest..."<br><br><br>Today's Topics:<br><br>&nbsp;&nbsp; 1. Re: Query reagrding Bro Ids (Jim Mellander)<br>&nbsp;&nbsp; 2. Re: Query reagrding Bro Ids (Aashish Sharma)<br>&nbsp;&nbsp; 3. Re: Query reagrding Bro Ids (Manoj Petshali)<br><br><br>----------------------------------------------------------------------<br><br>Message: 1<br>Date: Fri, 12 Jul 2019 13:17:25 -0700<br>From: Jim Mellander &lt;jmellander@lbl.gov&gt;<br>Subject: Re: [Zeek] Query reagrding Bro Ids<br>To: Manoj Petshali &lt;manoj.petshali@paytm.com&gt;<br>Cc: Payments Network Team &lt;payments.networkteam@paytm.com&gt;,zeek<br>&lt;zeek@zeek.org&gt;<br>Message-ID:<br>&lt;CADju=b7zCBZrTyKQU_axFxh7Pf=5onmWcvRjQ6fNhbG7f3NpbQ@mail.gmail.com&gt;<br>Content-Type: text/plain; charset="utf-8"<br><br>Hi Manoj:<br><br>The issue you described seems more on the networking side, rather than the<br>IDS side.&nbsp; However, it seems likely that a much bigger issue that a<br>business like yours would face would be that of cybersecurity, in<br>particular, securing your servers from unauthorized intrusion and data<br>exfiltration.&nbsp; In this, Zeek (the opensource IDS formerly known as Bro) can<br>play an important role in early detection of possible intrusions.<br><br>Hope this helps,<br><br>Jim<br><br>On Fri, Jul 12, 2019 at 1:33 AM Manoj Petshali &lt;manoj.petshali@paytm.com&gt;<br>wrote:<br><br>&gt; Hi Team,<br>&gt;<br>&gt; Please respond as we need to implement the same at the earliest.<br>&gt;<br>&gt; Thanks<br>&gt; Manoj Petshali<br>&gt; Sr. Manager - Payments Engineering<br>&gt; Mobile +91-9891066456<br>&gt;<br>&gt; www.paytm.com<br>&gt;<br>&gt;<br>&gt;<br>&gt; On Fri, Jul 12, 2019 at 10:21 AM Manoj Petshali &lt;manoj.petshali@paytm.com&gt;<br>&gt; wrote:<br>&gt;<br>&gt;&gt; Hi Team,<br>&gt;&gt;<br>&gt;&gt; I am very eager about the Bro and need to know below information :<br>&gt;&gt;<br>&gt;&gt; -We are working in india's biggest transactional system and facing many<br>&gt;&gt; issues e.g.<br>&gt;&gt;<br>&gt;&gt; : if some user request is coming from pubic or private network (Internal<br>&gt;&gt; request) and traverses across many servers and if user receives timeout (<br>&gt;&gt; e.g. connection time out, read time out ,rst etc) then we need to know the<br>&gt;&gt; deep analysis of the same means :<br>&gt;&gt;<br>&gt;&gt; : Why/where the request timed out ?<br>&gt;&gt; : Upto which hop the request travelled?<br>&gt;&gt; : Network latency between these hopes to know if the latency is the issue?<br>&gt;&gt; : tcp handshake and ssl handshake latency and the reason for the same?<br>&gt;&gt; : Applicatency latency ?&nbsp; means if the network latency is fine<br>&gt;&gt;<br>&gt;&gt; We searched on wen and got feeling that the Bro is more oriented toward<br>&gt;&gt; security and do deep packe inspection.But we have many problems like above<br>&gt;&gt; to resolve .May you please let us know that how Bro can help us to resolve<br>&gt;&gt; above issues?<br>&gt;&gt;<br>&gt;&gt; Thanks<br>&gt;&gt; Manoj Petshali<br>&gt;&gt; Sr. Manager - Payments Engineering<br>&gt;&gt; Mobile +91-9891066456<br>&gt;&gt;<br>&gt;&gt; www.paytm.com<br>&gt;&gt;<br>&gt;&gt; _______________________________________________<br>&gt; Zeek mailing list<br>&gt; zeek@zeek.org<br>&gt; http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek<br>-------------- next part --------------<br>An HTML attachment was scrubbed...<br>URL: http://mailman.ICSI.Berkeley.EDU/pipermail/zeek/attachments/20190712/b233dc24/attachment-0001.html <br><br>------------------------------<br><br>Message: 2<br>Date: Fri, 12 Jul 2019 13:34:41 -0700<br>From: Aashish Sharma &lt;asharma@lbl.gov&gt;<br>Subject: Re: [Zeek] Query reagrding Bro Ids<br>To: Manoj Petshali &lt;manoj.petshali@paytm.com&gt;<br>Cc: Payments Network Team &lt;payments.networkteam@paytm.com&gt;,<br>zeek@zeek.org<br>Message-ID: &lt;20190712203440.GH2789@MacPro-2331.local&gt;<br>Content-Type: text/plain; charset=us-ascii<br><br>Hello Manoj, <br><br>you can sure use zeek to get more visibility into your traffic and connections.<br>It has a pretty good and powerful tcp analysis engine built into. I am sure zeek<br>can get you a lot of diagnostic data - I say that from our experience at<br>Berkeley Lab where we do a lot of proactive blocking and always rely on zeek's<br>conn.log (and similar) to look into connectivity issues.&nbsp; So to me what you<br>seek, is not too difficult. <br><br>The difficult part for you is going to be getting this traffic&nbsp; into zeek or<br>putting taps/sensors at the right places. <br><br>Do you have taps on the points you want to monitor ? <br><br>Aashish <br><br>On Fri, Jul 12, 2019 at 01:54:43PM +0530, Manoj Petshali wrote:<br>&gt; Hi Team,<br>&gt; <br>&gt; Please respond as we need to implement the same at the earliest.<br>&gt; <br>&gt; Thanks<br>&gt; Manoj Petshali<br>&gt; Sr. Manager - Payments Engineering<br>&gt; Mobile +91-9891066456<br>&gt; <br>&gt; www.paytm.com<br>&gt; <br>&gt; <br>&gt; <br>&gt; On Fri, Jul 12, 2019 at 10:21 AM Manoj Petshali &lt;manoj.petshali@paytm.com&gt;<br>&gt; wrote:<br>&gt; <br>&gt; &gt; Hi Team,<br>&gt; &gt;<br>&gt; &gt; I am very eager about the Bro and need to know below information :<br>&gt; &gt;<br>&gt; &gt; -We are working in india's biggest transactional system and facing many<br>&gt; &gt; issues e.g.<br>&gt; &gt;<br>&gt; &gt; : if some user request is coming from pubic or private network (Internal<br>&gt; &gt; request) and traverses across many servers and if user receives timeout (<br>&gt; &gt; e.g. connection time out, read time out ,rst etc) then we need to know the<br>&gt; &gt; deep analysis of the same means :<br>&gt; &gt;<br>&gt; &gt; : Why/where the request timed out ?<br>&gt; &gt; : Upto which hop the request travelled?<br>&gt; &gt; : Network latency between these hopes to know if the latency is the issue?<br>&gt; &gt; : tcp handshake and ssl handshake latency and the reason for the same?<br>&gt; &gt; : Applicatency latency ?&nbsp; means if the network latency is fine<br>&gt; &gt;<br>&gt; &gt; We searched on wen and got feeling that the Bro is more oriented toward<br>&gt; &gt; security and do deep packe inspection.But we have many problems like above<br>&gt; &gt; to resolve .May you please let us know that how Bro can help us to resolve<br>&gt; &gt; above issues?<br>&gt; &gt;<br>&gt; &gt; Thanks<br>&gt; &gt; Manoj Petshali<br>&gt; &gt; Sr. Manager - Payments Engineering<br>&gt; &gt; Mobile +91-9891066456<br>&gt; &gt;<br>&gt; &gt; www.paytm.com<br>&gt; &gt;<br>&gt; &gt;<br><br><br><br>&gt; _______________________________________________<br>&gt; Zeek mailing list<br>&gt; zeek@zeek.org<br>&gt; http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek<br><br><br><br>------------------------------<br><br>Message: 3<br>Date: Sat, 13 Jul 2019 13:37:04 +0530<br>From: Manoj Petshali &lt;manoj.petshali@paytm.com&gt;<br>Subject: Re: [Zeek] Query reagrding Bro Ids<br>To: Aashish Sharma &lt;asharma@lbl.gov&gt;<br>Cc: Payments Network Team &lt;payments.networkteam@paytm.com&gt;,<br>zeek@zeek.org<br>Message-ID:<br>&lt;CAENooKzrtMUKQWdqFu+PcFQCeNv-PLAH4NM_=t0nivw1hZJj7w@mail.gmail.com&gt;<br>Content-Type: text/plain; charset="utf-8"<br><br>Hi Ashish,<br><br>Thanks a lot for your response.<br>we do not have taps/sensors as of now. if we have taps placed at right<br>places , may you elaborate what kind of difficulty we may face?<br>Also let me know if we can filter and send the traffic (without payload)<br>according to our requirement e.g. flags only like syn, synack,ack, timeout<br>etc to zeek for troubleshooting.<br>May you please share some data/charts depicting the information we are<br>looking for (as per the trail mail ) so that we may proceed further.<br><br><br>Thanks<br>Manoj Petshali<br>Sr. Manager - Payments Engineering<br>Mobile +91-9891066456<br><br>www.paytm.com<br><br><br><br>On Sat, Jul 13, 2019 at 2:04 AM Aashish Sharma &lt;asharma@lbl.gov&gt; wrote:<br><br>&gt; Hello Manoj,<br>&gt;<br>&gt; you can sure use zeek to get more visibility into your traffic and<br>&gt; connections.<br>&gt; It has a pretty good and powerful tcp analysis engine built into. I am<br>&gt; sure zeek<br>&gt; can get you a lot of diagnostic data - I say that from our experience at<br>&gt; Berkeley Lab where we do a lot of proactive blocking and always rely on<br>&gt; zeek's<br>&gt; conn.log (and similar) to look into connectivity issues.&nbsp; So to me what you<br>&gt; seek, is not too difficult.<br>&gt;<br>&gt; The difficult part for you is going to be getting this traffic&nbsp; into zeek<br>&gt; or<br>&gt; putting taps/sensors at the right places.<br>&gt;<br>&gt; Do you have taps on the points you want to monitor ?<br>&gt;<br>&gt; Aashish<br>&gt;<br>&gt; On Fri, Jul 12, 2019 at 01:54:43PM +0530, Manoj Petshali wrote:<br>&gt; &gt; Hi Team,<br>&gt; &gt;<br>&gt; &gt; Please respond as we need to implement the same at the earliest.<br>&gt; &gt;<br>&gt; &gt; Thanks<br>&gt; &gt; Manoj Petshali<br>&gt; &gt; Sr. Manager - Payments Engineering<br>&gt; &gt; Mobile +91-9891066456<br>&gt; &gt;<br>&gt; &gt; www.paytm.com<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; On Fri, Jul 12, 2019 at 10:21 AM Manoj Petshali &lt;<br>&gt; manoj.petshali@paytm.com&gt;<br>&gt; &gt; wrote:<br>&gt; &gt;<br>&gt; &gt; &gt; Hi Team,<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; I am very eager about the Bro and need to know below information :<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; -We are working in india's biggest transactional system and facing many<br>&gt; &gt; &gt; issues e.g.<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; : if some user request is coming from pubic or private network<br>&gt; (Internal<br>&gt; &gt; &gt; request) and traverses across many servers and if user receives<br>&gt; timeout (<br>&gt; &gt; &gt; e.g. connection time out, read time out ,rst etc) then we need to know<br>&gt; the<br>&gt; &gt; &gt; deep analysis of the same means :<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; : Why/where the request timed out ?<br>&gt; &gt; &gt; : Upto which hop the request travelled?<br>&gt; &gt; &gt; : Network latency between these hopes to know if the latency is the<br>&gt; issue?<br>&gt; &gt; &gt; : tcp handshake and ssl handshake latency and the reason for the same?<br>&gt; &gt; &gt; : Applicatency latency ?&nbsp; means if the network latency is fine<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; We searched on wen and got feeling that the Bro is more oriented toward<br>&gt; &gt; &gt; security and do deep packe inspection.But we have many problems like<br>&gt; above<br>&gt; &gt; &gt; to resolve .May you please let us know that how Bro can help us to<br>&gt; resolve<br>&gt; &gt; &gt; above issues?<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; Thanks<br>&gt; &gt; &gt; Manoj Petshali<br>&gt; &gt; &gt; Sr. Manager - Payments Engineering<br>&gt; &gt; &gt; Mobile +91-9891066456<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; www.paytm.com<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt; &gt; _______________________________________________<br>&gt; &gt; Zeek mailing list<br>&gt; &gt; zeek@zeek.org<br>&gt; &gt; http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek<br>&gt;<br>&gt;<br>-------------- next part --------------<br>An HTML attachment was scrubbed...<br>URL: http://mailman.ICSI.Berkeley.EDU/pipermail/zeek/attachments/20190713/c66ed52a/attachment.html <br>-------------- next part --------------<br>A non-text attachment was scrubbed...<br>Name: noname<br>Type: image/png<br>Size: 944 bytes<br>Desc: not available<br>Url : http://mailman.ICSI.Berkeley.EDU/pipermail/zeek/attachments/20190713/c66ed52a/attachment.bin <br><br>------------------------------<br><br>_______________________________________________<br>Zeek mailing list<br>Zeek@zeek.org<br>http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek<br><br><br>End of Zeek Digest, Vol 159, Issue 14<br>*************************************<br><br></div>