<div dir="ltr"><div>OK I have set up the ET policy rules to be disabled with this entrance in the disabled.conf<br></div><div>group:emerging-policy.rules</div><div>when I check the rules in /var/lib/suricata/rules/suricata.rules the rules are disabled but I still get alerts on the policy rules.</div><div>This is the alert that I can trigger reliably <br></div><div>12/27/2019-08:40:25.590054  [**] [1:2013504:5] ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management [**] [Classification: Not Suspicious Traffic] [Priority: 3] {TCP} <a href="http://10.2.63.15:45082">10.2.63.15:45082</a> -> <a href="http://151.101.52.204:80">151.101.52.204:80</a></div><div>and here is what is in /var/lib/suricata/rules/suricata.rules</div><div># alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET POLICY GNU/Linux APT User-Agent Outbound likely related to package management"; flow:established,to_server; content:"APT-HTTP|2F|"; http_user_agent; reference:url,<a href="http://help.ubuntu.com/community/AptGet/Howto">help.ubuntu.com/community/AptGet/Howto</a>; classtype:not-suspicious; sid:2013504; rev:5; metadata:created_at 2011_08_31, updated_at 2011_08_31;)</div><div><br></div><div>I don't know why these policy rules keep firing.  I have disabled other rulesets the same way.  Running 4.1.5.<br></div></div>