Suricata を使用して侵入検知システム (IDS) をセットアップしています。仮想マシンへのログイン試行が失敗するたびにアラートを生成するカスタム ルールを作成したいと考えています。
例:
alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force Attempt";flow: Established,to_server;content:"SSH";nocase;offset:0; depth:4;detection_filter:track by_src, count 2, seconds) 2;sid:2005;rev:1;)
SSH ルールのさまざまな組み合わせを試しましたが、Suricata アラート セクションに複数の不正な SSH 試行があるアラートを表示できませんでした。(不正な試行 => 無効なパスワードを使用してアラートを生成)
これについてどうすればよいか教えてください。