<div dir="ltr">Hi,<div><br></div><div>We have been doing based on CVE or category, here are some examples. I'm not completely sure that is te most optimized but works, you can used for your keyword:</div><div><br></div>
<div><div>#Regex for look Internet Explorer rules with attempted-(admin|dos|recon|user) classtype</div><div>pcre:(?=.*\bBROWSER-IE\b)(?=.*\battempted-(admin|dos|recon|user)\b)</div><div>pcre:(?=.*\bBROWSER-IE\b)(?=.*\bmisc-(activity|attack)\b)</div>
<div>pcre:(?=.*\bBROWSER-IE\b)(?=.*\bweb-application-(activity|attack)\b)</div><div>#Regex to enable rules based on VRT-file-multimedia.rules and attempted-(admin|dos|user)</div><div>pcre:(?=.*\bFILE-MULTIMEDIA\b)(?=.*\battempted-(admin|dos)\b)</div>
<div>pcre:(?=.*\bFILE-MULTIMEDIA\b)(?=.*\battempted-user\b)(?=.*\b(apple|adobe|<a href="http://videolan.org">videolan.org</a>)\b)</div><div>#Regex to enable rules in VRT-file-executable.rules based on FILE-EXECUTABLE and attempted</div>
<div>#(admin|user) and misc-activity</div><div>pcre:(?=.*\bFILE-EXECUTABLE\b)(?=.*\battempted-(admin|user)\b)</div><div>pcre:(?=.*\bFILE-EXECUTABLE\b)(?=.*\bmisc-activity\b)</div><div>#Regex to enable rules on VRT-malware-cnc.rules based on MALWARE-CNC and trojan-activity.</div>
<div>pcre:(?=.*\bMALWARE-CNC\b)(?=.*\btrojan-activity\b)</div></div><div><br></div><div>I hope that this help you,</div><div><br></div><div>Best Regards</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Fri, Feb 21, 2014 at 10:33 AM, SnortFan <span dir="ltr"><<a href="mailto:SnortFan@...131..." target="_blank">SnortFan@...131...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi All,<br>
    Is anyone using regular expressions in pulledpork's disablesid.conf file to disable rules based on the classtype: of a rule?<br>
<br>
If so can you post an example?<br>
<br>
Thanks,<br>
Ed<br>
<br>
Sent from a mobile device.<br>
------------------------------------------------------------------------------<br>
Managing the Performance of Cloud-Based Applications<br>
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.<br>
Read the Whitepaper.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=121054471&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>JUAN CAMILO VALENCIA VARGAS<br>Ingeniero de Operaciones</div><div>SeguraTec S.A.S </div><div>Calle 11 # 43B-50 of 307</div><div>Medelllín Colombia</div><div>
<br><b>“Choose a job you love, and you will never have to work a day in your life”</b><br></div>
</div>