Las alertas:

ET SCAN Potential SSH Scan OUTBOUND

ET POLICY Possible Data Exfiltration via SSH

no son reglas personalizadas, sino firmas incluidas habitualmente en el conjunto Emerging Threats (ET) que usa Suricata.

En concreto:

1?? ET SCAN Potential SSH Scan OUTBOUND

SID: 2010935
Origen: categoría emerging-scan.rules
Detecta patrones compatibles con escaneo SSH saliente (múltiples conexiones cortas o comportamiento típico de enumeración).

Ejemplo simplificado de estructura de regla:

alert tcp $HOME_NET any -> $EXTERNAL_NET 22 
(msg:"ET SCAN Potential SSH Scan OUTBOUND"; 
flow:to_server; 
threshold:type both, track by_src, count 5, seconds 60; 
sid:2010935; rev:3;)
2?? ET POLICY Possible Data Exfiltration via SSH

SID: 2024218
Origen: categoría emerging-policy.rules
Detecta patrones compatibles con transferencia de volumen inusual por SSH o comportamiento anómalo respecto a política de red.

Estructura típica:

alert tcp $HOME_NET any -> $EXTERNAL_NET 22 
(msg:"ET POLICY Possible Data Exfiltration via SSH"; 
flow:established,to_server; 
detection_filter:track by_src, count 20, seconds 60; 
sid:2024218; rev:4;)

Importante para el alumnado:
La alerta la genera la coincidencia con la firma (SID), no “Suricata en abstracto”. En el fast.log, el número [1:2024218:4] indica:

Generator ID (1)

Signature ID (2024218)

Revision (4)

Eso permite rastrear la regla exacta en el fichero de reglas cargado.