<div dir="ltr"><div><div><div><div>Hi all!<br><br></div>I think the answer to this is "no" but I wanted to reach out before I closed the loop. <br><br></div>Is there a way to globally threshold all rules in Suricata via the threshold.config? <br>For example, I don't want a rule to fire more than 1 time in an hour for the same IP (e.g. threshold gen_id 1, sig_id ALL OF THEM, type limit, track by_src, count 1, seconds 3600). <br>It appears this available in Snort but not Suricata.<br></div><br></div>Please let me know if I have the right info or have been grossly misinformed by my Google searches. Thanks!<br clear="all"><div><div><div><div><div><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-family:arial,helvetica,sans-serif"><font size="4">Josh Guild</font></span><div>Network Intelligence Analyst<br> <a href="https://twitter.com/stay_spooky" target="_blank"><img alt="" src="https://docs.google.com/uc?export=download&id=0B5E885OFUaavTGZrN3ppUmM1eTA&revid=0B5E885OFUaavUkdXL0Jwd0FpYkt5SWZaMFFHQ0k0enRCR2dzPQ" width="32" height="32"></a><a href="https://keybase.io/joshuaguild" target="_blank"><img alt="" src="https://docs.google.com/uc?export=download&id=0B5E885OFUaavLXUtdDdUWGVFLUk&revid=0B5E885OFUaavejhCeEpKSUZyMmRmYTh4K2MyMHI0WklTZXRJPQ" width="32" height="32"> </a><br><br></div></div></div></div></div>
</div></div></div></div></div></div>