<div dir="ltr">I strongly dissagree with those rulefile recommendations. Do you know how many rules in total this is? And not speaking of all the IP bassed rules in ciaarmy, compromised, drop, dshield and botcc??<div><br></div><div>As i see it there are three issues with this recommendation.</div><div>1) This is alot of rules, give this ruleset 1,2,3,4,5 Gbits/s and well, drop drop drop.</div><div>2) Anyone using their own ruledatabase (ie. keeping a database of all rules and revisions) will not be able to (without allot of work) be able to keep this ruleset smal and fast enough for high speed environments.</div><div>3) All ruleset tuning operations should be done by scoping the needs, then removing files / sids / categories. Not just saying: you dont need this or this or this. What about web_server, web_client? those might be off use / need to this scenario.</div><div><br></div><div>So to do the TL;DR version.</div><div>No one can say "this is the correct ruleset to run" because they dont know your network, your infrastructure, and so on. Start with all rules, tune, do performance testing, check for false positives. All new IDS solutions need a "initial tuning" phase. Someone trying to "sell you" an "this works out of the box" if filled with... sorry for saying this: shit =)</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-01-14 16:20 GMT+01:00 Andreas Herz <span dir="ltr"><<a href="mailto:andi@geekosphere.org" target="_blank">andi@geekosphere.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 14/01/15 at 16:46, unite wrote:<br>
> Hi guys!<br>
><br>
> I'm quite new to Suricata. So, I succesfully managed to install it and to<br>
> configure it for basic use (I'm using nfqueue IPS mode). Now I want to try<br>
> secure my network, however I can't find anywhere which rules should I enable<br>
> as "drop" which as "alert" and which not to enable at all, so my IPS<br>
> wouldn't be too paranoid and don't block, for example, low confidence<br>
> traffic which is very likely to be legitimate. I'm using open<br>
> emergingthreats rules. I understand that there is no perfect and universal<br>
> rule setting - every single installation needs a unique one, however I've<br>
> seen some kinds of "recommended" rule settings in other IPS engines -<br>
> containing the rule settings that are suitable for most deployments and then<br>
> you change some if you need.<br>
><br>
> Can someone advice? It would be great help for me.<br>
<br>
</span>I can say that using this list with maybe some rules excluded might be a<br>
good start:<br>
<br>
rule-files:<br>
 - emerging-trojan.rules<br>
 - emerging-scan.rules<br>
 - emerging-user_agents.rules<br>
 - emerging-current_events.rules<br>
 - emerging-malware.rules<br>
 - emerging-mobile_malware.rules<br>
 - emerging-worm.rules<br>
 - ciarmy.rules<br>
 - compromised.rules<br>
 - drop.rules<br>
 - dshield.rules<br>
 - botcc.rules<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Andreas Herz<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/training/</a><br>
</div></div></blockquote></div><br></div>