<div dir="ltr">Hi David,<div><br></div><div>Yes, the Snort, Suri and Bro sensors all get the exact same traffic mirrored through Gigamon ports.</div><div>All of them run on IDS mode, hence they don't do any shunting of traffic themselves.</div><div>All blacklisted IPs traffic get blocked on the border and don't even reach the Gigamon ports.</div><div><br></div><div>Also, the variables (HOME_NET, EXTERNAL_NET) are set correctly in suricata conf, have compared snort conf and suri conf multiple times to find anything, but it seems to be correct.</div><div><br></div><div>Also, confirmed that there was no capture loss in suri during that time when the snort alerts triggered. So even capture loss is out of picture.</div><div><br></div><div>I will keep looking into possible cause, but I am inclined towards assuming that the Suricata's application level decoding and rules based on app protocol detection could be something that I should look more into.  I will update if I find anything.</div><div><br></div><div>Thanks,</div><div>Fatema.</div></div>