El taller propuesto consistiría en llevar a la práctica el funcionamiento de los métodos JA3 y JA3S, con los cuales podemos conseguir identificar conexiones TLS, SSL que hayan sido cifradas siguiendo un patrón en el hash de la conexión según la procedencia de la conexión (como por ejemplo TOR, Emotet, Empire…). Una vez analizados los patrones, podremos implementar nuevas reglas para nuestro IDS y recibir alertas provenientes de estas conexiones descartando falsos positivos.