<div dir="ltr">One example is we have one rule (not a home brewed rule, but from external source) that detects several callouts to web sites.  One of the sites is legit and want to thin that out of the rest which we do want to see traffic to.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Aug 3, 2019 at 1:07 PM Jason Ish <<a href="mailto:jason.ish@oisf.net">jason.ish@oisf.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2019-08-01 12:14 p.m., John Peters wrote:<br>
> I've been using suricata-update to pull as well as enable/disable rules,<br>
> but now I have a few use cases where I need to tweak & modify a couple<br>
> rules.  I'd like to learn to use the modify.conf file to help keep<br>
> things better organized.  <br>
> <br>
> I see the example in the comments, which is good, but in my case I need<br>
> to add/remove/modify a couple fields in some custom rules and not sure<br>
> exactly where to begin.  Pointing in a direction to either some<br>
> tutorials or examples would be greatly appreciated.<br>
<br>
We don't have much in the ways of tutorials, we could probably add some<br>
more examples.  If you can provide more info on what type of<br>
modifications you would like to do, we can see what we can do in terms<br>
of adding examples.<br>
<br>
Thanks,<br>
Jason<br>
<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>