問題タブ [suricata]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ssh - Snort/suricata を使用して、ホーム ネットワークへのログインに失敗するたびに SSH アラートを生成したい
Suricata を使用して侵入検知システム (IDS) をセットアップしています。仮想マシンへのログイン試行が失敗するたびにアラートを生成するカスタム ルールを作成したいと考えています。
例:
alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force Attempt";flow: Established,to_server;content:"SSH";nocase;offset:0; depth:4;detection_filter:track by_src, count 2, seconds) 2;sid:2005;rev:1;)
SSH ルールのさまざまな組み合わせを試しましたが、Suricata アラート セクションに複数の不正な SSH 試行があるアラートを表示できませんでした。(不正な試行 => 無効なパスワードを使用してアラートを生成)
これについてどうすればよいか教えてください。