<p dir="ltr">You could also suppress an alert between two hosts by creating a pass rule.  </p>
<p dir="ltr">Also, most rules (that I can think of based on our alerts) are unidirectional. So if I know some severs always get rap traffic I suppress those alerts with the src or dst depending on the rule.  </p>
<div class="gmail_quote">On Dec 14, 2012 7:41 PM, "waldo kitty" <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 12/14/2012 10:44, Guido Hungerbuehler wrote:<br>
> I only agree on parts. Because if you would like to create a pass rule<br>
> for one specific rule and the two affected hosts, this would mean that I<br>
> basically have to copy the rule that triggers the event and replace<br>
> 'alert' with 'pass' and adjust the source and destination.<br>
><br>
> But if the signature gets a new revision, the pass-rule does not get<br>
> updated. And I would have to check for changes in the rules manually.<br>
<br>
welcome to IDS Management 101 ;)<br>
<br>
but seriously, i see what you are saying but there is no other method available<br>
at this time for the way you choose to operate :?<br>
<br>
------------------------------------------------------------------------------<br>
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>
Remotely access PCs and mobile devices and provide instant support<br>
Improve your efficiency, and focus on delivering more value-add services<br>
Discover what IT Professionals Know. Rescue delivers<br>
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div>