Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
1157
Apresentações
0
Útil
0
Respostas

Ajuda na criação de assinatura snort

joaberna11
Level 1
Level 1

em ‎07-13-2020 06:08 AM

Olá pessoal,

 

Eu preciso de uma ajuda para criar uma regra de intrusão que detecte quando uma origem faz mais de 20 conexões https para alguns destinos específicos como mostra no print anexo.

 

Eu criei esta assinatura, mas ela ainda não me deu bons resultados:

 

alert tcp $EXTERNAL_NET any -> [192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4,192.168.0.5,192.168.0.6,192.168.0.7,192.168.0.8] 443 (sid:1000054; gid:1; detection_filter:track by_src, count 6, seconds 1; flags:S; msg:"Conexoes_Excessivas_App"; classtype:web-application-attack; rev:3; )

Como eu poderia ajustar essa assinatura para conseguir detectar quando este comportamento ocorre?

 

Obrigado desde já.

Rótulos:
Pré-visualizar ficheiro
67 KB
0 Útil
0 RESPOSTAS 0

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Ajuda sobre a Comunidade Blogs de Segurança
Customers Also Viewed These Support Documents