<div dir="ltr"><div dir="ltr"><div>Dear Members,</div><div><br></div><div>I need some help with the problem below.</div><div>The SNORT rule does not generate alarms in all cases.</div><div>The Napatech card uses all the 20 streams according to the Suricata.yaml configuration file (attached).</div><div>It alerts only in case of HTTP 80 and only 5 times of 100 dowloaded eicar test file..</div><div><br></div><div>Suricata 3.2.1; Debian.</div><div><br></div><div>The RULE:</div>alert tcp any any -> any any (msg:"POLICY-OTHER eicar test string download attempt"; flow:to_client,established; file_data; content:"7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+"; fast_pattern:only; metadata:policy balanced-ips drop, policy max-detect-ips drop, policy security-ips drop; reference:url,<a href="http://www.eicar.org/86-0-Intended-use.html">www.eicar.org/86-0-Intended-use.html</a>; classtype:misc-activity; sid:37732; rev:3;)<br></div><div dir="ltr"><br></div><div>Any ideas are appreciated.</div><div dir="ltr"><br></div><div>Best Regards,</div><div>Dezső Soós</div></div>