<div dir="ltr"><div>Hey all, I've enabled alerting for blacklisted events using the reputation preprocessor, but alerts continue to use the message defined in:</div>spp_reputation.h<br><div><br></div><div>Instead of anything found in gen-msg.map or preproc.rules.</div>
<div><br></div><div>Is there a way to override the message that's sent when writing fast or unified2 alerts? We do some custom processing and I'd like to be able to modify this a bit for our specific use case.</div>
<div><br></div><div>examples:</div><div>spp_reputation.h:</div><div>#define REPUTATION_EVENT_BLACKLIST_STR     "(spp_reputation) packets blacklisted"<br></div><div><br></div><div>gen-msg.map:</div><div>136 || 1 || reputation: Packet is blacklisted<br>
</div><div><br></div><div>preproc.rules:</div><div>alert ( msg: "REPUTATION_EVENT_BLACKLIST"; sid: 1; gid: 136; rev: 1; metadata: rule-type preproc ; tag:session,60,seconds; classtype:bad-unknown; )<br></div><div>
<br></div><div>Actual alert resulting:</div><div>07/14-02:51:30.229493  [**] [136:1:1] (spp_reputation) packets blacklisted [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} XXX.XXX.XXX.XXX:XXXX -> XXX.XXX.XXX.XXX:XXX<br>
</div><div><br></div><div>I'd like to change "(spp_reputation) packets blacklisted" without needing to recompile, etc.</div><div><br></div><div>Thanks,</div><div>Duane</div></div>