これを行うには主に2つの方法があります
suppressルール-送信元または宛先のいずれかに基づいて特定のSIDでのアラートを無効にしますpassrule-ルールに一致するトラフィックが他のルールと照合せずに渡されることを許可します
パスルール
多くのアラートを生成することが知られているが、信頼されていることも知られているホストからのトラフィックを無視するのに役立ちます。脆弱性評価ツールは大きなものです。これらは、「アラート」の代わりに「パス」ステートメントが使用されることを除いて、他のアラートルールの形式で記述されます。これらのいずれかからのすべてのトラフィックを許可する場合は、次を使用できます。
pass ip 10.10.8.200/32 any <> any any (msg: "Ignore all Network Health monitoring"; sid: 1000013;)
これは非常に単純なルールであり、送信元アドレスが「10.10.8.200」のIPトラフィックを無視し、送信元ポートは任意の宛先ポートの任意のアドレスに送信されます。
ルールの抑制
これらは主に誤検知を除外するために使用されます。管理者がルールに関する詳細情報を指定する必要があります。 gen_idとsig_id、および無視する条件。 DNS逆引き参照のゴブを定期的に実行するシステムがあり、そのため、多くのNXDOMAINクエリが生成されたとします。これは多くの場合、ネットワークの偵察を示している可能性がありますが、この場合は予想される動作です。以下を使用して無視できます。
suppress gen_id 1, sig_id 13948, track by_dst, ip 10.10.8.240
標準の「アラート」ルールの場合、gen_idは常に1であり、無視するSIDは13948であり、これらのルックアップをすべて実行しているホストは「10.10.8.240」です。
特定のリクエスト
レイアウトしている状況では、次のようなもので逃げることができるはずです。
pass icmp 10.10.8.200/32 any <> any any (msg: "Ignore all ICMP Traffic by Host"; sid: 1000087;)
上記のIPベースのルールと同様に、これは、宛先が誰であるかに関係なく、from '10.10.8.200'からのICMPトラフィックを無視する必要があります。
追加のリソース
もちろん、これらのルールはより複雑になる可能性がありますが、詳細についてはさらにいくつかのドキュメントを読む必要があります。あなたの最善の策は、いくつかのグーグル検索を実行し、それらをチャンクすることですが、私が見つけた有用なドキュメントは(順不同で):
すばらしい情報です。単一のポートを抑制したい場合はどうすればよいですか?
こんなことしたい
suppress gen_id 1, sig_id 1394, track by_dst, ip 10.182.196.135:925
925がSMTPの内部ポートです。 SMTPを通過する電子メールは、私が見る必要のない大量のアラートをダンプします。
それは最後のポートで機能しますか?