<div dir="ltr">Are you attempting to monitor traffic coming to and from the hosts? If so, wouldn&#39;t it be easier to keep bro at the network level and require VPN connections for remote employees?<div><br></div><div>Another possible option if you&#39;re just looking for some general endpoint information is to try out the bro-osquery connection: (<a href="https://github.com/bro/bro-osquery">https://github.com/bro/bro-osquery</a>)</div><div><br></div><div>Just a little more food for thought.</div><div><br></div><div>-Sam</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 8, 2017 at 5:53 PM, Dan Ecott <span dir="ltr">&lt;<a href="mailto:dan.ecott@gmail.com" target="_blank">dan.ecott@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Some responses inline. I may try and leverage AWS lambda triggers on git commits and Jamf to get new scripts down to the laptops somehow. </div><div><br></div><div>Thanks for your responses. I will check back in if I make any good progress. </div><div><br></div><div>Dan. </div><div><br><div class="gmail_quote"><span class=""><div>On Wed, Mar 8, 2017 at 11:55 AM Mike Dopheide &lt;<a href="mailto:dopheide@gmail.com" target="_blank">dopheide@gmail.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg">I don&#39;t know anyone else that&#39;s tried this, but it&#39;s an interesting thought experiment.  A few initial thoughts in no particular order...<br class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">(1) Given that Bro can be relatively CPU intensive, your developers will likely hate you for having something like that running on the same system where they&#39;re trying to do their work.  I&#39;d suggest setting up a one-off example and getting some real data on performance impact.</div></div></div></div></div></div></blockquote><div><br></div></span><div>Definitely going to look at how this impacts the use of the laptops. Initial assessments on my own show that  the bro processes don&#39;t use anything more than 2% CPU with the out of the box scripts. </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><br class="m_7477618755557834982gmail_msg">(2) Cool idea!<br class="m_7477618755557834982gmail_msg"></div></div></div></div></div></blockquote><div><br></div><div>If it works. :-)</div><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div>(3) I&#39;d definitely run these as one-off Bro instances rather than trying to make it a cluster.  To start cluster communication doesn&#39;t traverse secure protocols.  However, that means you&#39;ll have to build up your own means of getting the log data, alerts, and checking on process status.</div></div></div></div></blockquote><div><br></div></span><div>Yes. We run splunk forwarder on the laptops too and I sym link the bro logs into /var/log which splunk forwards out for indexing. Process checking is another thing I have to figure out. </div><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div>(4) Related to (3) most of us use Bro to passively monitor network links.  If your Bro process is sending data back out over the same network connection that it&#39;s monitoring you&#39;ll need to be very careful not to build a snowball effect.</div></div></div></blockquote><div><br></div></span><div>Agreed. Gotcha. </div><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div>(5) We&#39;ve been tracking our Bro policies in git for some time now, works great.</div></div></blockquote><div><br></div></span><div>cool. </div><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">(6) Do your developers run a fairly standard system configuration on their endpoints or would you have to potentially build Bro for a lot of different environments?</div></div></blockquote><div><br></div></span><div>Yes. This is going to be running on modern MacBook Pro laptops fully loaded. Should be no issues. </div><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">(7) Maybe you could have Bro running on the endpoint only when the developer is traveling or otherwise on a less trusted (unmonitored) network?<br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg"></div></div></blockquote><div><br></div></span><div>Worth thinking about. </div><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div>-Dop<br class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div></div></div><div class="gmail_extra m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"><div class="gmail_quote m_7477618755557834982gmail_msg"></div></div><div class="gmail_extra m_7477618755557834982gmail_msg"><div class="gmail_quote m_7477618755557834982gmail_msg">On Wed, Mar 8, 2017 at 5:50 AM, Dan Ecott <span class="m_7477618755557834982gmail_msg">&lt;<a href="mailto:dan.ecott@gmail.com" class="m_7477618755557834982gmail_msg" target="_blank">dan.ecott@gmail.com</a>&gt;</span> wrote:<br class="m_7477618755557834982gmail_msg"></div></div><div class="gmail_extra m_7477618755557834982gmail_msg"><div class="gmail_quote m_7477618755557834982gmail_msg"><blockquote class="gmail_quote m_7477618755557834982gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello. <div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">I am exploring whether Bro can work for my company in a particular use case. What I would like to do is run Bro sensors on developer laptops, centrally manage the Bro scripts that run on those end points and ensure the Bro process is always running. </div><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">What is the best way to run a deployment like this? Has it been done before? Bro Cluster doesn&#39;t look like the right solution. </div><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">As far as managing the scripts, I was thinking of building an AWS code pipeline where I can promote scripts through a Git repo, then have a process whereby approved scripts get pushed out to the end points quickly. </div><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">Any help on this would be appreciated. </div><span class="m_7477618755557834982m_-1336311492748973881HOEnZb m_7477618755557834982gmail_msg"><font color="#888888" class="m_7477618755557834982gmail_msg"><div class="m_7477618755557834982gmail_msg"><br class="m_7477618755557834982gmail_msg"></div><div class="m_7477618755557834982gmail_msg">Dan. </div>
</font></span><br class="m_7477618755557834982gmail_msg"></blockquote></div></div><div class="gmail_extra m_7477618755557834982gmail_msg"><div class="gmail_quote m_7477618755557834982gmail_msg"><blockquote class="gmail_quote m_7477618755557834982gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">______________________________<wbr>_________________<br class="m_7477618755557834982gmail_msg">
Bro mailing list<br class="m_7477618755557834982gmail_msg">
<a href="mailto:bro@bro-ids.org" class="m_7477618755557834982gmail_msg" target="_blank">bro@bro-ids.org</a><br class="m_7477618755557834982gmail_msg">
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" rel="noreferrer" class="m_7477618755557834982gmail_msg" target="_blank">http://mailman.ICSI.Berkeley.<wbr>EDU/mailman/listinfo/bro</a><br class="m_7477618755557834982gmail_msg"></blockquote></div><br class="m_7477618755557834982gmail_msg"></div>
</blockquote></span></div></div>
<br>______________________________<wbr>_________________<br>
Bro mailing list<br>
<a href="mailto:bro@bro-ids.org">bro@bro-ids.org</a><br>
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/bro" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.<wbr>EDU/mailman/listinfo/bro</a><br></blockquote></div><br></div>