As a quick note, suppressing an entire SID is pretty inefficient.. it only suppresses the alert form being recorded, the rule itself still loads into memory and traffic is still evaluated against it.  In almost every case where you are generically suppressing a SID, you should instead be disabling the SID.<div>
<br></div><div>JJC<br><br><div class="gmail_quote">On Fri, Oct 12, 2012 at 8:45 AM, Craft, Robert <span dir="ltr"><<a href="mailto:Robert.Craft@...15608..." target="_blank">Robert.Craft@...15608...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">There's always disabledsid.conf and/or threshold.conf<br>
<br>
dsisabledsid is more of an OFF switch for a rule while threshold allows tuning (and off as well)<br>
<br>
threshold.conf examples:<br>
These filter based on the source ip<br>
suppress gen_id 1 , sig_id 2001689, track by_src, ip xxx.xxx.xxx.xxx<br>
suppress gen_id 1 , sig_id 2001689, track by_src, ip xxx.xxx.xxx.xxx<br>
suppress gen_id 1 , sig_id 2003068, track by_src, ip xxx.xxx.xxx.xxx<br>
# engineer's SSH scans<br>
<br>
This one is an off switch<br>
suppress gen_id 1 , sig_id 2010936<br>
# shutting up ET POLICY Suspicious inbound to Oracle SQL port 1521 alert going off on any traffic<br>
<br>
A disabledsid.conf entry looks more like this:<br>
1:2010936<br>
# shutting up ET POLICY Suspicious inbound to Oracle SQL port 1521 alert going off on any traffic<br>
<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Don't let slow site performance ruin your business. Deploy New Relic APM<br>
Deploy New Relic app performance management and know exactly<br>
what is happening inside your Ruby, Python, PHP, Java, and .NET app<br>
Try New Relic at no cost today and get our sweet Data Nerd shirt too!<br>
<a href="http://p.sf.net/sfu/newrelic-dev2dev" target="_blank">http://p.sf.net/sfu/newrelic-dev2dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br></div>