<div dir="ltr">Yes, these signatures are enabled for all internal hosts, except for those indicated.<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 19, 2017 at 2:04 PM, Nick Price <span dir="ltr"><<a href="mailto:nick@spun.io" target="_blank">nick@spun.io</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Stupid question, but have you gripped the rules file that pulled pork output to confirm the signatures are there?<br>
<br>
> On Dec 19, 2017, at 2:46 AM, C. L. Martinez <<a href="mailto:carlopmart@gmail.com">carlopmart@gmail.com</a>> wrote:<br>
><br>
> No, in my case I am using pulledpork because this server runs under<br>
> FreeBSD. But it is strange because rules configured under<br>
> threshold.conf are not triggered (that on the other hand was the<br>
> target)...<br>
><br>
> On Mon, Dec 18, 2017 at 4:34 PM, Nick Price <<a href="mailto:nick@spun.io">nick@spun.io</a>> wrote:<br>
>> I ran into a similar issue today and was wondering - are you using the<br>
>> new suricata-update script?<br>
>><br>
>> I had some duplicate SIDs in a custom file which I was using to<br>
>> "enable" rules that were commented out by default in rulesets I was<br>
>> pulling down from the Internet, rather than modifying those files<br>
>> themselves.  Where I ran into an issue is that suricata-update also<br>
>> reads in commented-out rules so it can enable them if the user has<br>
>> configured it to do so. When it encountered the duplicate SIDs, with<br>
>> one enabled and one disabled, its behavior seemed non-deterministic and<br>
>> I had similar issues to what you're describing.<br>
>><br>
>> Nick<br>
>><br>
>><br>
>> On Thu, 2017-12-14 at 08:12 +0000, C. L. Martinez wrote:<br>
>>> Hi all,<br>
>>><br>
>>> I have added some rules to threshold.config file and I am seeing the<br>
>>> following errors when I reload suricata:<br>
>>><br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2015633, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2016778, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2014169, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2025105, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2025107, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2025106, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>> 14/12/2017 -- 09:05:18 - <Warning> - [ERRCODE:<br>
>>> SC_ERR_EVENT_ENGINE(210)] - can't suppress sid 2025104, gid 1:<br>
>>> unknown<br>
>>> rule<br>
>>><br>
>>> My threshold.config's fiel contains:<br>
>>><br>
>>> # ET INFO DYNAMIC_DNS Query to Abused Domain *.<a href="http://mooo.com" rel="noreferrer" target="_blank">mooo.com</a><br>
>>> suppress gen_id 1, sig_id 2015633, track by_src, ip 172.31.25.3<br>
>>><br>
>>> # ET DNS Query to a *.pw domain<br>
>>> suppress gen_id 1, sig_id 2016778, track by_src, ip 172.31.25.3<br>
>>><br>
>>> # ET DNS Query for .su TLD (Soviet Union) Often Malware Related<br>
>>> suppress gen_id 1, sig_id 2014169, track by_src, ip 172.31.25.3<br>
>>><br>
>>> # ET INFO DNS Query for Suspicious .ga Domain<br>
>>> suppress gen_id 1, sig_id 2025105, track by_src, ip 172.31.25.3<br>
>>><br>
>>> # ET INFO DNS Query for Suspicious .cf Domain<br>
>>> suppress gen_id 1, sig_id 2025107, track by_src, ip 172.31.25.3<br>
>>><br>
>>> # ET INFO DNS Query for Suspicious .ml Domain<br>
>>> suppress gen_id 1, sig_id 2025106, track by_src, ip 172.31.25.3<br>
>>><br>
>>> # ET INFO DNS Query for Suspicious .gq Domain<br>
>>> suppress gen_id 1, sig_id 2025104, track by_src, ip 172.31.25.3<br>
>>><br>
>>> SIDs are ok ... then, why these errors?<br>
>>><br>
>>> Thanks,<br>
>>> ______________________________<wbr>_________________<br>
>>> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
>>> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/supp" rel="noreferrer" target="_blank">http://suricata-ids.org/supp</a><br>
>>> ort/<br>
>>> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-u" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-u</a><br>
>>> sers<br>
>>><br>
>>> Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
>>> Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a><br>
> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
><br>
> Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
> Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a><br>
<br>
</blockquote></div><br></div></div></div>