<div dir="ltr">Hey Leonard,<div><br></div><div>There's not really much of a difference in doing that.  But it is another way to skin the cat, so to speak.  I usually put things I want to ignore (ie: Venor IPs) in the Home_Net, since we generally trust the IP addresses.</div>
<div><br></div><div>Like I said though... Either way *should* work.</div><div><br></div><div>~Brant</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jun 20, 2014 at 8:48 PM, Leonard Jacobs <span dir="ltr"><<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">What is the difference between that and putting them in $EXTERNAL_NET with telling them to not include using a exclamation point in front of IPs?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Brant Wells [mailto:<a href="mailto:bwells@tfc.edu" target="_blank">bwells@tfc.edu</a>] <br>
<b>Sent:</b> Friday, June 20, 2014 1:06 PM<br><b>To:</b> Leonard Jacobs<br><b>Cc:</b> Darien Huss; OISF Users</span></p><div><div class="h5"><br><b>Subject:</b> Re: [Oisf-users] How do you ignore External IP Addresses?<u></u><u></u></div>
</div><p></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">You could also add the IP Ranges that you want to ignore to the $HOME_NET variable...  <u></u><u></u></p><div><p class="MsoNormal">
 <u></u><u></u></p></div><div><p class="MsoNormal">$HOME_NET = [<a href="http://10.0.0.0/16" target="_blank">10.0.0.0/16</a>, <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a>, <a href="http://8.8.8.8/32" target="_blank">8.8.8.8/32</a>]<u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Or something like that to make it ignore the servers that you don't want to monitor traffic from.<u></u><u></u></p></div><div><p class="MsoNormal">
<u></u> <u></u></p></div></div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><u></u> <u></u></p><div><p class="MsoNormal">On Fri, Jun 20, 2014 at 12:23 PM, Leonard Jacobs <<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>> wrote:<u></u><u></u></p>
<p class="MsoNormal">I am trying to avoid customizing a standard signature because updating becomes problematic then.<u></u><u></u></p><div><div><p class="MsoNormal" style="margin-bottom:12.0pt"><br>----- Original Message -----<br>
From: Darien Huss [mailto:<a href="mailto:dhuss@emergingthreats.net" target="_blank">dhuss@emergingthreats.net</a>]<br>To: Leonard Jacobs [mailto:<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>]<br>
Cc: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>Sent: Fri, 20 Jun 2014 06:59:49 -0500<br>Subject: Re: [Oisf-users] How do you ignore External IP Addresses?<br>
<br><br>> Without seeing the traffic I'm not sure if this would be reliable, but you<br>> could possibly add something like this to that rule if the test webpage<br>> occurs on the same domain every time:<br>
><br>> content:!"<a href="http://trustedvendor.com" target="_blank">trustedvendor.com</a>"; http_header;<br>><br>> If their IP address were to change but the domain stays the same the above<br>> would still work.<br>
><br>> Regards,<br>><br>> Darien<br>><br>><br>> On Fri, Jun 20, 2014 at 7:24 AM, Leonard Jacobs <<a href="mailto:ljacobs@netsecuris.com" target="_blank">ljacobs@netsecuris.com</a>><br>> wrote:<br>
><br>> > I want to be able to ignore some External source IP addresses in<br>> > signatures. Can I list them in suricata.yaml with a ! in front of them.<br>> > Like:<br>> ><br>> ><br>> ><br>
> > EXTERNAL_NET: "[!$HOME_NET, !x.x.x.x, !x.x.x.x/16]"   for example.<br>> ><br>> ><br>> ><br>> > I have a trusted vendor that is causing false positives because they<br>> > refuse to change a numeric string in what they are sending in a test web<br>
> > page so it is triggering a Trojan signature. I want to ignore their<br>> > traffic. I know that is dangerous if they were really used as an attack<br>> > vector into my network.<br>> ><br>> ><br>
> ><br>> > Any suggestions?<br>> ><br>> ><br>> ><br>> > Leonard<br>> ><br>> ><br>> ><br>> ><br>> ><br>> ><br>> ><br>> > _______________________________________________<br>
> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>> > Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> > List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>> > OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
> ><br>><br><br><u></u><u></u></p></div></div><p class="MsoNormal">Leonard Jacobs, MBA, CISSP, CSSAPresident/CEONetsecuris Inc.P <a href="tel:952-641-1421%20ext.%2020" target="_blank">952-641-1421 ext. 20</a><a href="http://www.netsecuris.com" target="_blank">http://www.netsecuris.com</a><u></u><u></u></p>
<div><div><p class="MsoNormal">_______________________________________________<br>Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><u></u><u></u></p></div></div></div><p class="MsoNormal"><br><br clear="all"><u></u><u></u></p><div><p class="MsoNormal">
<u></u> <u></u></p></div><p class="MsoNormal">-- <u></u><u></u></p><div><p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">~Brant Wells</span><u></u><u></u></p><div><p class="MsoNormal">
<span style="font-size:7.5pt;font-family:"Georgia","serif"">Network Administrator</span><u></u><u></u></p><div><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Georgia","serif"">Toccoa Falls College</span><u></u><u></u></p>
</div><div><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Georgia","serif"">107 Kincaid Drive Toccoa Falls, GA 30598</span><u></u><u></u></p></div><div><p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Georgia","serif""><a href="tel:706-886-7299%20x5346" value="+17068867299" target="_blank">706-886-7299 x5346</a> * <a href="mailto:bwells@tfc.edu" target="_blank">bwells@tfc.edu</a></span><u></u><u></u></p>
</div><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div></div></div></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">
<font face="verdana, sans-serif">~Brant Wells</font><div><font size="1" face="georgia, serif">Network Administrator<br></font><div><font size="1" face="georgia, serif">Toccoa Falls College</font></div><div><font size="1" face="georgia, serif">107 Kincaid Drive Toccoa Falls, GA 30598</font></div>
<div><font size="1" face="georgia, serif">706-886-7299 x5346 * <a href="mailto:bwells@tfc.edu" target="_blank">bwells@tfc.edu</a></font></div><div><b><br></b><div><b><br></b></div></div></div></div>
</div>