Escribí esta regla para que cuando haya más de tres intentos fallidos de conexión SSH, haya una alerta pero no funcione. ¿Estas reglas están mal escritas? O si no, pido la redacción exacta de la regla.
Es una emergencia, es para un sostén en unas pocas semanas ...
Esta es mi regla:
alert tcp 192.168.1.30 any -> 192.168.1.50 22 (
msg:"SSH Brute Force Attempt";
flow:established,to_server;
content:"SSH"; nocase; offset:0; depth:3;
detection_filter:track by_src, count 3, seconds 60;
sid:10000001; rev:1;)