Я настроил правила для троянских коней из новых угроз, чтобы в drop.conf выпало действие.Одно из этих правил было определено как ложное срабатывание для одного из моих хозяев.Поэтому я попытался добавить сторону к файлу threshold.conf как подавление.В результате я больше не вижу предупреждений в fast.log.... но пакеты все еще заблокированы.
Линия в threshold.conf была установлена следующим образом:
suppress gid nr, sid nr, track by_dst, IP x.x.x.x
suppress gid nr, sid nr, track by_src, IP x.x.x.x
Я также проверил suricata.log, чтобы убедиться, что они были применены.
Так что любая помощь в том, как сделать эту работу, ценится.Я хочу «отключить» это правило только для этого src / dst IP.