Soy nuevo en snort y me gustaría recibir ayuda.
He editado el ranking .config, agregue una nueva línea
config classification: hello,hello is detected ,1
Tuve una carga útil hello.pdf, la máquina descargó el archivo, pero Snort no está detectando / alertando Aquí está mi regla de snort en las reglas locales
alert tcp $HOME_NET any -> any any (msg:"hello is detected"; flow: established; content: "hello"; nocase; classtype: hello; sid:10000019; rev: 2;)