<div dir="ltr">Sorry to beat a dead horse here but I am having a few issues with setting the alert_email_types.<div><br></div><div>I set the following in my local.bro:</div><div><div>redef Notice::emailed_types += {</div><div>  Weird::Activity,</div><div>  Signatures::Sensitive_Signature,</div><div>  Signatures::Multiple_Signatures,</div><div>  Signatures::Multiple_Sig_Responders,</div><div>  Signatures::Count_Signature,</div><div>  Intel::Notice,</div><div>  TeamCymruMalwareHashRegistry::Match,</div><div>  Traceroute::Detected,</div><div>  FTP::Bruteforcing,</div><div>  FTP::Site_Exec_Success,</div><div>  SMTP::Blocklist_Error_Message,</div><div>  SMTP::Blocklist_Blocked_Host,</div><div>  SMTP::Suspicious_Origination,</div><div>  SSH::Login_By_Password_Guesser,</div><div>  SSH::Interesting_Hostname_Login,</div><div>};</div></div><div><br></div><div>Now here I would expect to only get emails from the notice framework for the defined types.  But in actuality I get email from other things as well such as SQL_Injection, Weird_Activity, etc.  I want the notice framework to log all these action but I don&#39;t want emails sent to me for them.  </div><div><br></div><div>I am using the emailed types to send emails to a alert dashboard for analysts to looka t.  I only want things to go there that require immediate action by the analyst, all other notices I want logged and they can view them when they do their hourly checks of the net.</div><div><br></div><div>Did I configure the email_types incorrectly.  The end of my local.bro files contains the following email types modifications I have made:</div><div><br></div><div><div>redef Notice::emailed_types += {<br></div><div>  Weird::Activity,</div><div>  Signatures::Sensitive_Signature,</div><div>  Signatures::Multiple_Signatures,</div><div>  Signatures::Multiple_Sig_Responders,</div><div>  Signatures::Count_Signature,</div><div>  Intel::Notice,</div><div>  TeamCymruMalwareHashRegistry::Match,</div><div>  Traceroute::Detected,</div><div>  FTP::Bruteforcing,</div><div>  FTP::Site_Exec_Success,</div><div>  SMTP::Blocklist_Error_Message,<br></div><div>  SMTP::Blocklist_Blocked_Host,</div><div>  SMTP::Suspicious_Origination,</div><div>  SSH::Login_By_Password_Guesser,</div><div>  SSH::Interesting_Hostname_Login,</div><div>};</div><div><br></div><div># Only receive Scan Notices if they are from local network.<br></div><div>const local_emailed_types: set[Notice::Type] = {</div><div>  SSH::Password_Guessing,</div><div>  } &amp;redef;</div><div><br></div><div>hook Notice::policy(n: Notice::Info)</div><div>    {</div><div>    if (n$note in local_emailed_types &amp;&amp; Site::is_local_addr(n$src))</div><div>        add n$actions[Notice::ACTION_EMAIL];</div><div>    }</div><div><br></div><div><br></div><div>Any help would be appreciated.</div><div><br></div><div>Thanks</div><div>       </div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Feb 14, 2016 at 8:42 AM, Tim Desrochers <span dir="ltr">&lt;<a href="mailto:tgdesrochers@gmail.com" target="_blank">tgdesrochers@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Followup question:<div><br></div><div>If I set this will I still get the other notices emailed to me such as items from the intel framework that I have set meta.do_notice and meta.if_in.  Or will I have to make another notice hook to still allow for those to send emails when observed.</div><div><br></div><div>Obviously I have some bro scripting classes to attend, but in the meanwhile I am just trying to hack this together.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Tim</div></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Sun, Feb 14, 2016 at 7:35 AM, Azoff, Justin S <span dir="ltr">&lt;<a href="mailto:jazoff@illinois.edu" target="_blank">jazoff@illinois.edu</a>&gt;</span> wrote:<br></span><div><div class="h5"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The thing to understand is that the ignored_types and emailed_types are just tables defined to make tweaking the base notice policy easier.<br>
<br>
That default notice policy is:<br>
<br>
hook Notice::policy(n: Notice::Info) &amp;priority=10<br>
        {<br>
        if ( n$note in Notice::ignored_types )<br>
                break;<br>
<br>
        if ( n$note in Notice::not_suppressed_types )<br>
                n$suppress_for=0secs;<br>
        if ( n$note in Notice::alarmed_types )<br>
                add n$actions[ACTION_ALARM];<br>
        if ( n$note in Notice::emailed_types )<br>
                add n$actions[ACTION_EMAIL];<br>
<br>
        if ( n$note in Notice::type_suppression_intervals )<br>
                n$suppress_for=Notice::type_suppression_intervals[n$note];<br>
<br>
        # Logging is a default action.  It can be removed in a later hook if desired.<br>
        add n$actions[ACTION_LOG];<br>
        }<br>
<br>
As you can see, adding notice types to those tables just tweaks the behavior of the default Notice::policy hook.  To do some of the things you want to do, you just need a hook like<br>
<br>
hook Notice::policy(n: Notice::Info)<br>
{<br>
    if (n$note == Scan::Port_Scan &amp;&amp; Site::is_local_addr(n$src))<br>
        add n$actions[Notice::ACTION_EMAIL];<br>
}<br>
<br>
If that would get repetitive, you can create your own table like<br>
<br>
const local_emailed_types: set[Notice::Type] = {} &amp;redef;<br>
<br>
and have the policy be<br>
<br>
hook Notice::policy(n: Notice::Info)<br>
{<br>
    if (n$note in local_emailed_types &amp;&amp; Site::is_local_addr(n$src))<br>
        add n$actions[Notice::ACTION_EMAIL];<br>
}<br>
<br>
--<br>
- Justin Azoff<br>
<div><div><br>
&gt; On Feb 14, 2016, at 6:14 AM, Tim Desrochers &lt;<a href="mailto:tgdesrochers@gmail.com" target="_blank">tgdesrochers@gmail.com</a>&gt; wrote:<br>
&gt;<br>
&gt; As with every infrastructure I am plagued with people scanning my external edge.  I see little value in getting notices for scanning attempts and password guessing attempts but I do see value in running monthly reports and generating blocklists based on repeat offenders.<br>
&gt;<br>
&gt; Is there a way to tell the notice framework to only create alarms (emails) if it sees scans of any kind (address, port, password guessing, etc) if they are from the IP&#39;s in my $HOME_NET defined in network.cfg?<br>
&gt;<br>
&gt; Justification, If I<br>
&gt;<br>
&gt; redef Notice::ignored_types += {<br>
&gt;   SSH::Password_Guessing,<br>
&gt;   Scan::Address_Scan,<br>
&gt;   Scan::Port_Scan,<br>
&gt;   HTTP::SQL_Injection_Attacker,<br>
&gt;   ShellShock::Scanner,<br>
&gt;   ScanUDP::Address_Scan,<br>
&gt;   ScanUDP::Port_Scan,<br>
&gt; };<br>
&gt;<br>
&gt; Then I get no logging of the events anywhere.  Therefore I can&#39;t run reports of offenders and build active blocklists or other intel gathering activities.<br>
&gt;<br>
&gt; If I:<br>
&gt;<br>
&gt; # Set rule to only email specific notice types:<br>
&gt; redef Notice::emailed_types += {<br>
&gt;   Weird::Activity,<br>
&gt;   Signatures::Sensitive_Signature,<br>
&gt;   Signatures::Multiple_Signatures,<br>
&gt;   Signatures::Multiple_Sig_Responders,<br>
&gt;   Signatures::Count_Signature,<br>
&gt;   Intel::Notice,<br>
&gt;   TeamCymruMalwareHashRegistry::Match,<br>
&gt;   Traceroute::Detected,<br>
&gt;   FTP::Bruteforcing,<br>
&gt;   FTP::Site_Exec_Success,<br>
&gt;   HTTP::SQL_Injection_Victim,<br>
&gt;   SMTP::Blocklist_Error_Message,<br>
&gt;   SMTP::Blocklist_Blocked_Host,<br>
&gt;   SMTP::Suspicious_Origination,<br>
&gt;   SSH::Login_By_Password_Guesser,<br>
&gt;   SSH::Interesting_Hostname_Login,<br>
&gt; };<br>
&gt;<br>
&gt; Then I get flooded with email from any of the guessing activity (Side note: I find that the above logic doesn&#39;t restrict email notices to just those listed in the defined email types above.  I still get plenty of notices about events not listed in the list above).  If the redef Notice::emailed_types worked it would be a start but I&#39;d still like to get emails about IP addresses in my internal net getting scanned by other IP&#39;s in my internal net, that definitely an indicator of unwanted behavior.<br>
&gt;<br>
&gt; Any assistance would be greatly appreciated.  Just trying to tune things to a manageable level.<br>
&gt;<br>
&gt; Thanks<br>
&gt; Tim<br>
</div></div>&gt; _______________________________________________<br>
&gt; Bro mailing list<br>
&gt; <a href="mailto:bro@bro-ids.org" target="_blank">bro@bro-ids.org</a><br>
&gt; <a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro</a><br>
<br>
</blockquote></div></div></div><br></div>
</blockquote></div><br></div>