<div dir="ltr">You could also add the IP Ranges that you want to ignore to the $HOME_NET variable...  <div> </div><div>$HOME_NET = [<a href="http://10.0.0.0/16">10.0.0.0/16</a>, <a href="http://192.168.1.0/24">192.168.1.0/24</a>, <a href="http://8.8.8.8/32">8.8.8.8/32</a>]</div>
<div><br></div><div>Or something like that to make it ignore the servers that you don't want to monitor traffic from.</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jun 20, 2014 at 12:23 PM, Leonard Jacobs <span dir="ltr"><<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am trying to avoid customizing a standard signature because updating becomes problematic then.<br>
<div><div class="h5"><br>
----- Original Message -----<br>
From: Darien Huss [mailto:<a href="mailto:dhuss@emergingthreats.net">dhuss@emergingthreats.net</a>]<br>
To: Leonard Jacobs [mailto:<a href="mailto:ljacobs@netsecuris.com">ljacobs@netsecuris.com</a>]<br>
Cc: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Sent: Fri, 20 Jun 2014 06:59:49 -0500<br>
Subject: Re: [Oisf-users] How do you ignore External IP Addresses?<br>
<br>
<br>
> Without seeing the traffic I'm not sure if this would be reliable, but you<br>
> could possibly add something like this to that rule if the test webpage<br>
> occurs on the same domain every time:<br>
><br>
> content:!"<a href="http://trustedvendor.com" target="_blank">trustedvendor.com</a>"; http_header;<br>
><br>
> If their IP address were to change but the domain stays the same the above<br>
> would still work.<br>
><br>
> Regards,<br>
><br>
> Darien<br>
><br>
><br>
> On Fri, Jun 20, 2014 at 7:24 AM, Leonard Jacobs <<a href="mailto:ljacobs@netsecuris.com">ljacobs@netsecuris.com</a>><br>
> wrote:<br>
><br>
> > I want to be able to ignore some External source IP addresses in<br>
> > signatures. Can I list them in suricata.yaml with a ! in front of them.<br>
> > Like:<br>
> ><br>
> ><br>
> ><br>
> > EXTERNAL_NET: "[!$HOME_NET, !x.x.x.x, !x.x.x.x/16]"   for example.<br>
> ><br>
> ><br>
> ><br>
> > I have a trusted vendor that is causing false positives because they<br>
> > refuse to change a numeric string in what they are sending in a test web<br>
> > page so it is triggering a Trojan signature. I want to ignore their<br>
> > traffic. I know that is dangerous if they were really used as an attack<br>
> > vector into my network.<br>
> ><br>
> ><br>
> ><br>
> > Any suggestions?<br>
> ><br>
> ><br>
> ><br>
> > Leonard<br>
> ><br>
> ><br>
> ><br>
> ><br>
> ><br>
> ><br>
> ><br>
> > _______________________________________________<br>
> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> > Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> > List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> > OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
> ><br>
><br>
<br>
<br>
</div></div>Leonard Jacobs, MBA, CISSP, CSSAPresident/CEONetsecuris Inc.P <a href="tel:952-641-1421%20ext.%2020" value="+19526411421">952-641-1421 ext. 20</a><a href="http://www.netsecuris.com" target="_blank">http://www.netsecuris.com</a><br>

<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><font face="verdana, sans-serif">~Brant Wells</font><div><font size="1" face="georgia, serif">Network Administrator<br></font><div><font size="1" face="georgia, serif">Toccoa Falls College</font></div>
<div><font size="1" face="georgia, serif">107 Kincaid Drive Toccoa Falls, GA 30598</font></div><div><font size="1" face="georgia, serif">706-886-7299 x5346 * <a href="mailto:bwells@tfc.edu" target="_blank">bwells@tfc.edu</a></font></div>
<div><b><br></b><div><b><br></b></div></div></div></div>
</div>