<div dir="ltr">I'm trying to figure out how to use the "iprep" features with Suricata. I have been a snort user and am familiar with how Snort uses the IP reputation blacklist provided by Talos Intelligence. Suricata seems to be a bit different in how it uses IP reputation lists.<div><br></div><div>1.) Is the categories.txt file defined in suricata.yaml with </div><div><span style="background-color:rgb(250,250,250);color:rgb(51,51,51);font-family:Consolas,Menlo,"Liberation Mono",Courier,monospace;font-size:12px">reputation-categories-file: /etc/suricata/iprep/categories.txt</span><br></div><div>available to download or is it dynamically created with use of the IP reputation feature?</div><div><br></div><div>2.) Is the reputation.list file defined in the yaml file with </div><div><br></div><div><i>reputation-files:</i></div><div><i> - reputation.list</i></div><div><br></div><div>available to download in the csv format that the documentation says the files should be i.e.  <span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold"><</span><span class="gmail-n" style="font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;color:rgb(51,51,51)">ip</span><span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold">></span><span class="gmail-p" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box">,</span><span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold"><</span><span class="gmail-n" style="font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;color:rgb(51,51,51)">category</span><span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold">></span><span class="gmail-p" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box">,</span><span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold"><</span><span class="gmail-n" style="font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;color:rgb(51,51,51)">reputation</span><span style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px"> </span><span class="gmail-n" style="font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;color:rgb(51,51,51)">score</span><span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold">></span></div><div><span class="gmail-o" style="color:rgb(64,64,64);font-family:Consolas,"Andale Mono WT","Andale Mono","Lucida Console","Lucida Sans Typewriter","DejaVu Sans Mono","Bitstream Vera Sans Mono","Liberation Mono","Nimbus Mono L",Monaco,"Courier New",Courier,monospace;font-size:12px;box-sizing:border-box;font-weight:bold"><br></span></div><div>Also a related question...when I attempt to add and IP based rule file such as the ET compromised.rules to use with Suricata, I get error messages for all the rules in compromised.rules saying they are duplicate signatures. Do I not have something configured correctly to use those ip based rules?</div></div>