<div dir="ltr">Thank Jason,  I think it would require a code change for sure, i was reading through the rule logic on Friday and saw that it was not possible.  I got around it by simply piping the file though a sed script and grabbing every sid from non commented out lines in emerging-scans.rules.  This will work for me as i download all of the rules to a single server and rsync them around.  But for other setups it may not be tenable.  <div><br></div><div>I may dig a bit deeper and see how this could be done by changing as little as possible.  I found it to be a nice feature of oinkmaster b/c some of the commented out rules are very quick to block local/loopback traffic.</div><div><br></div><div>I'll look into it a bit more and open a hopefully detailed ticket.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 24, 2019 at 7:10 PM Jason Ish <<a href="mailto:jason.ish@oisf.net">jason.ish@oisf.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2019-02-21 12:47 p.m., Jeff Dyke wrote:<br>
> Very hesitant to ask another question after i forgot to check permissions :)<br>
<br>
Don't be :)<br>
<br>
> <br>
> Anyway.  In oinkmaster.conf i have<br>
> <br>
> define_template make_drop "^alert" | "drop"<br>
> <br>
> use_template make_drop drop.rules, tor.rules, ciarmy.rules, compromised.rules, emerging-scan.rules, emerging-malware.rules, dshield.rules<br>
> <br>
> This is designed to drop everything that is not commented out, but if i <br>
> add emerging-scan.rules to drop.conf, suricata-update seems to process <br>
> the drop file last, so i'm looking for an analogous way to support <br>
> converting alerts to drops only if they are not commented out. The <br>
> biggest issue i have is that the commented out rules in this file, <br>
> include same source/destination and local calls sids 2100528 and <br>
> 2100527, which i have in disable.conf, but that is processed before <br>
> drop.conf<br>
> <br>
> In the example above, i was able to support anything that the <br>
> maintainers felt didn't need to be in the file.<br>
<br>
I can't think off-hand of an easy way to replicate this feature from <br>
Oinkmaster, I'm actually not familiar with it from Oinkmaster either but <br>
can't say I've used it much.<br>
<br>
I think its worth opening a ticket for.  Even if its resolvable without <br>
code changes, it would probably still make a good documentation addition.<br>
<br>
Thanks,<br>
Jason<br>
<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>