Queste regole di Snort sono corrette?

1

Ho scritto questa regola in modo che quando ci sono più di tre tentativi di connessione SSH falliti che ci sia un avviso ma non funziona. Queste regole sono scritte male? O se no, chiedo l'esatta scrittura della regola.

È un'emergenza che duri in poche settimane ...

Questa è la mia regola:

alert tcp 192.168.1.30 any -> 192.168.1.50 22 ( 
msg:"SSH Brute Force Attempt";
flow:established,to_server; 
content:"SSH"; nocase; offset:0; depth:3; 
detection_filter:track by_src, count 3, seconds 60; 
sid:10000001; rev:1;)
    
posta Michel Tangue 24.07.2018 - 12:12
fonte

0 risposte

Leggi altre domande sui tag