<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Hi,</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I have been playing around with Suricata and managed to get it working in IPS mode on a raspberry pi. What I found is that majority of the rules in the surictata.rules file are configured with "Alert" action. Some of the rules there are obvious candidates for "Drop" action.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I have couple of questions:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">1. If one is planning to deploy Suricata as an IPS, then there should be a more stringent ruleset to apply. The general suricata.rules file results as an IDS, unless one manually configured the rule action to drop.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">2. What is the best way to set certain rule categories action to drop?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">3. Oinkmaster or suricata-update which tool should be used?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Regards</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Rm</div></div>