<div dir="ltr">Thank You Avery for that information, but the problem with this solution is that it only suppresses the threats with matching source and destination IP address. I still get this alerts where the source and destination addresses¬† are MAC addresses instead of IP addresses. It would be helpful if someone could tell me which .rules files contains the signature for this alarm, so that I can disable it manually.<br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 25, 2014 at 4:22 PM, Avery Rozar <span dir="ltr"><<a href="mailto:Avery.Rozar@...16118..." target="_blank">Avery.Rozar@...16118...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Look at suppression in the threshold.conf file.<br>
<br>
For example;<br>
<br>
suppress gen_id 1, sig_id 1917<br>
<br>
# or suppress by sig_id and src host<br>
suppress gen_id 1, sig_id 1917, track by_src, ip x.x.x.x<br>
<br>
From: basant subba <<a href="mailto:basantsubba@...11827...">basantsubba@...11827...</a><mailto:<a href="mailto:basantsubba@...11827...">basantsubba@...11827...</a>>><br>
Date: Wednesday, June 25, 2014 at 2:14 AM<br>
To: "<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><mailto:<a href="mailto:snort-users@...974...rceforge.net">snort-users@lists.sourceforge.net</a>>" <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@...5870....net</a><mailto:<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>>><br>

Subject: [Snort-users] Suppressing the SCAN UPnP service alerts<br>
<div class="HOEnZb"><div class="h5"><br>
When I run snort, I get ¬†a lot of "SCAN UPnP service discover attempt" alerts with SID 1917? How do I suppress this alert? Which .rules file contains the signature corresponding to this alarm? Also is it something I should keep track of?<br>

</div></div></blockquote></div><br></div>