Ho scritto questa regola in modo che quando ci sono più di tre tentativi di connessione SSH falliti che ci sia un avviso ma non funziona. Queste regole sono scritte male? O se no, chiedo l'esatta scrittura della regola.
È un'emergenza che duri in poche settimane ...
Questa è la mia regola:
alert tcp 192.168.1.30 any -> 192.168.1.50 22 (
msg:"SSH Brute Force Attempt";
flow:established,to_server;
content:"SSH"; nocase; offset:0; depth:3;
detection_filter:track by_src, count 3, seconds 60;
sid:10000001; rev:1;)