Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1910 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rules ... Alert or Drop?

Atrius
I'm fairly new to the IPS/IDS thing, ...

Q1: is it better to switch all the rules from their default of "alert" ( = IPS) to "drop" ( = IDS, right?)? I only have a few categories which are getting any hits at all ("bad traffic", "icmp", "icmp_info", "misc", "scan", "tftp", "web-misc", and "web-php") ... the rest of the Rule Groups have zero for their hit count.

Q2: does "alert" send an email? or show up in a report that i have to go check? (if so, where is that?) or does it simply show up as a "hit" next to the Rule?

Q3: does "alert" allow the connection and just tell me about it? ... is it safer to have it "drop"?

thank you for your patience


This thread was automatically locked due to age.
  • 0
    you have the choice what has more priority in your network. the best way is to drop that what you don´t need. if you choose alert than the traffic would be allowed and you´ll be informed.

    you´ll be informed only if you activate the notification in the ips settings. there you also can choose the level when you wan´t to be informed.
  • 0 in reply to bce
    Before you drop a rule, you should check the snort website to see how many false positives it generates. Things like ICMP rules should probably be left as alert, as dropping packets could break some normal operation, but tftp and web attacks can be dropped fairly safely. 

    If you choose alert, you also have to choose a reporting level from all, medium and high. All emails you about everything, mdeium about all alerts that are of medium importance and above, and high only emails about rules it thinks are of high importance.