<div dir="ltr">Edits to all the ET/ETPRO JA3 rules concerning directionality will go out with the rule push today and should resolve a great number of these issues. Please let me know if it does not. Thanks again!</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 29, 2019 at 3:19 AM Jason Williams <<a href="mailto:jwilliams@emergingthreats.net">jwilliams@emergingthreats.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Thank you!</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 28, 2019 at 7:56 PM Michał Purzyński <<a href="mailto:michalpurzynski1@gmail.com" target="_blank">michalpurzynski1@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Be careful what you wish for ;)</div><div><br></div><div>I just spent over an hour submitting falses while also correlating each JA3 and JA3S with additional domains (from my Zeek's data) that rules either were or will be falsing on. I have more examples, but I have no time - and I already spent several hours on sorting through this today.<br></div><div><br></div><div>You're gonna see pretty much entire public side of the Firefox delivery infrastructure and half of Microsoft. Maybe that's BITS matching, of Microsoft's CryptoAPI, or both, or more.</div><div><br></div><div><br></div><div><br></div></div>
</blockquote></div>
</blockquote></div>