<div dir="ltr">Jeff, typically your rule manager (suricata-update) will handle flowbit dependancies. Otherwise, you'd want to disable those rules locally. Your issue is from having disabled INFO ruleset, so enabling those rules will also resolve this issue.<div><br></div><div>-T</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 27, 2019 at 1:43 PM Jeff Dyke <<a href="mailto:jeff.dyke@gmail.com">jeff.dyke@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">after implementing the suricata-update flow that i require, i was testing it out in my staging environment, which is also public, so i run suricata seriously in staging.  I see the, after reloading rules, warnings about flowbits being checked by not set (examples below).  I have read some documentation about this and most/all of these do indeed have a rule with isset:foo.flowbit, but there is not a role for set:foo.flowbit.  </div><div dir="ltr"><br></div><div dir="ltr">Is this something folks are fixing themselves, an oddity i introduced, or incomplete rules from, mostly, emerging-threat rule files.  I understand these are just a warnings but the isset rule can not be reached b/c there is not set rule, from my readings. </div><div dir="ltr"><br></div><div>I saw the same warnings in my dev environment as well. </div><div dir="ltr"><br></div><div dir="ltr">Thanks<br>Jeff<br><div><br></div><div><div> 27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'HTTP.UncompressedFlash' is checked but not set. Checked in 2016396 and 3 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.pdf.in.http' is checked but not set. Checked in 2017150 and 5 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.JS.Obfus.Func' is checked but not set. Checked in 2017246 and 1 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit '<a href="http://et.http.PK" target="_blank">et.http.PK</a>' is checked but not set. Checked in 2019835 and 3 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.JavaArchiveOrClass' is checked but not set. Checked in 2017756 and 15 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.WinHttpRequest' is checked but not set. Checked in 2019822 and 1 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit '<a href="http://ET.wininet.UA" target="_blank">ET.wininet.UA</a>' is checked but not set. Checked in 2021312 and 0 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.XMLHTTP.ip.request' is checked but not set. Checked in 2022050 and 1 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.XMLHTTP.no.exe.request' is checked but not set. Checked in 2022053 and 0 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.WinHttpRequest.no.exe.request' is checked but not set. Checked in 2022653 and 0 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.IE7.NoRef.NoCookie' is checked but not set. Checked in 2023671 and 11 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MCOFF' is checked but not set. Checked in 2019837 and 1 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'min.gethttp' is checked but not set. Checked in 2023711 and 0 other sigs</div><div>    27/2/2019 -- 20:31:58 - <Warning> - [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.armwget' is checked but not set. Checked in 2024241 and 1 other sigs</div></div><div><br></div><div><br></div></div></div>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">PGP: ABE625E6<br><a href="http://keybase.io/travisbgreen" target="_blank">keybase.io/travisbgreen</a></div>