Olá pessoal,
Eu preciso de uma ajuda para criar uma regra de intrusão que detecte quando uma origem faz mais de 20 conexões https para alguns destinos específicos como mostra no print anexo.
Eu criei esta assinatura, mas ela ainda não me deu bons resultados:
alert tcp $EXTERNAL_NET any -> [192.168.0.1,192.168.0.2,192.168.0.3,192.168.0.4,192.168.0.5,192.168.0.6,192.168.0.7,192.168.0.8] 443 (sid:1000054; gid:1; detection_filter:track by_src, count 6, seconds 1; flags:S; msg:"Conexoes_Excessivas_App"; classtype:web-application-attack; rev:3; )
Como eu poderia ajustar essa assinatura para conseguir detectar quando este comportamento ocorre?
Obrigado desde já.