<div dir="ltr">Hi,<div><br></div><div>So in an effort to detect the false positives, I was going through the alerts, and seen that for</div><div>an alert (sid:42016), looking for incoming UDP packets from External_Net to Home_Net on port 4800, lot of Home_net IPs wren't in use at the time when alert was triggered for corresponding Home_Net IPs.</div><div><br></div><div>Hence, just like for TCP connections, "established" can be used to make sure that the Home_Net IP is actively being used on the network (as the Ack flag will show), was thinking if there's a way to check for UDP rules whether the Home_Net IP is being used at the time when alert is triggered, and if not then those alerts can be supressed?</div><div><br></div><div>Currently, alert 42016 is triggering for the IPs that aren't in use by any device on the Home network (according to our DHCP logs),</div><div>hence they all can just simply be ignored.</div><div><br></div><div>Thanks,</div><div>Fatema.</div></div>