cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Comunicados
Webinar Environnement Cisco Novembre

Webinar Environnement Cisco Novembre
648
Apresentações
0
Útil
0
Respostas
joaberna11
Beginner

Ajuda na criação de assinatura snort

Olá pessoal,

 

Eu preciso de uma ajuda para criar uma regra de intrusão que detecte quando uma origem faz mais de 20 conexões https para alguns destinos específicos como mostra no print anexo.

 

Eu criei esta assinatura, mas ela ainda não me deu bons resultados:

 

alert tcp $EXTERNAL_NET any -> [192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4,192.168.0.5,192.168.0.6,192.168.0.7,192.168.0.8] 443 (sid:1000054; gid:1; detection_filter:track by_src, count 6, seconds 1; flags:S; msg:"Conexoes_Excessivas_App"; classtype:web-application-attack; rev:3; )

Como eu poderia ajustar essa assinatura para conseguir detectar quando este comportamento ocorre?

 

Obrigado desde já.

0 RESPOSTAS 0
Criar
Reconheça Seus Colegas
Content for Community-Ad

 Ask to Expert