<div dir="ltr">Very hesitant to ask another question after i forgot to check permissions :)<div><br></div><div>Anyway.  In oinkmaster.conf i have</div><div><pre style="background-color:rgb(43,43,43);color:rgb(169,183,198);font-family:"IBM Plex Mono";font-size:9pt"><span style="color:rgb(255,198,109)">define_template make_drop </span><span style="color:rgb(106,135,89)">"^alert" </span><span style="color:rgb(255,198,109)">| </span><span style="color:rgb(106,135,89)">"drop"</span></pre></div><div><pre style="background-color:rgb(43,43,43);color:rgb(169,183,198);font-family:"IBM Plex Mono";font-size:9pt"><span style="color:rgb(255,198,109)">use_template make_drop drop</span>.<span style="color:rgb(255,198,109)">rules</span><span style="color:rgb(204,120,50)">, </span><span style="color:rgb(255,198,109)">tor</span>.<span style="color:rgb(255,198,109)">rules</span><span style="color:rgb(204,120,50)">, </span><span style="color:rgb(255,198,109)">ciarmy</span>.<span style="color:rgb(255,198,109)">rules</span><span style="color:rgb(204,120,50)">, </span><span style="color:rgb(255,198,109)">compromised</span>.<span style="color:rgb(255,198,109)">rules</span><span style="color:rgb(204,120,50)">, </span><span style="color:rgb(255,198,109)">emerging-scan</span>.<span style="color:rgb(255,198,109)">rules</span><span style="color:rgb(204,120,50)">, </span><span style="color:rgb(255,198,109)">emerging-malware</span>.<span style="color:rgb(255,198,109)">rules</span><span style="color:rgb(204,120,50)">, </span><span style="color:rgb(255,198,109)">dshield</span>.<span style="color:rgb(255,198,109)">rules</span></pre>This is designed to drop everything that is not commented out, but if i add emerging-scan.rules to drop.conf, suricata-update seems to process the drop file last, so i'm looking for an analogous way to support converting alerts to drops only if they are not commented out. The biggest issue i have is that the commented out rules in this file, include same source/destination and local calls sids 2100528 and 2100527, which i have in disable.conf, but that is processed before drop.conf</div><div><br></div><div>In the example above, i was able to support anything that the maintainers felt didn't need to be in the file.  </div><div><br></div><div>Thanks again,<br>Jeff</div></div>