<div dir="ltr">Hello,<div>I created a script to modify the file and append risk and a local rule to use the file,</div><div>This is the script:</div><div><div>#!/bin/bash</div><div>declare -a ARRAY<br></div><div>exec 10<&0<br></div><div>exec < $1<br></div><div>let count=0</div><div><br></div><div>while read LINE; do</div><div><br></div><div>    ARRAY[$count]=$LINE</div><div>    ((count++))</div><div>done</div><div>echo "" > /etc/suricata/iprep/compromised-ips.txt<br></div><div>z=1000010</div><div>for f in "${ARRAY[@]}"; do</div><div>echo "$f,1,100" >> /etc/suricata/iprep/compromised-ips.txt<br></div><div>((z++))</div><div>done</div></div><div><br></div><div>It basically takes the compromised-ips.txt and append risk level 1 with value 100</div><div><br></div><div>In suricata.yaml</div><div><div>reputation-categories-file: /etc/suricata/iprep/categories.txt</div><div>default-reputation-path: /etc/suricata/iprep/</div><div>reputation-files:</div><div> - compromised-ips.txt</div></div><div><br></div><div>In categories.txt</div><div><div>1,Bad,Bad Host</div></div><div><br></div><div>In local.rules</div><div>reject ip any any -> any any (msg:"IPREP High Risk"; iprep:any,Bad,>,99; sid:379000031; rev:1;)<br></div></div>