Симптомы

Есть правило, которое должно блокировать IP-адрес на 12 часов, при обнаружении с него атак СОВ по сценарию.
Получается, логикой сценария с параметром атаки СОВ правило применяется к IP-адресу назначения, а не к трафику от атакаующего IP-адреса?

Если это так, прошу уточнить каким способом возможно реализовать механику «Fail2ban» (при обнаружении атаки блокировать именно IP-адрес атакующего)?

Решение

Логика такая, что сам источник является "потенциальной угрозой" и блокируется правилом.
Рекомендую просто воспользоваться правилами СОВ и запрещать трафик, по которому произошла сработка.
Заблокировать IP в 6-ой версии нет возможности.
В 7-ой версии продукта можно поставить действие сигнатуры СОВ "Блокировать IP" и указать продолжительность.

Причина

Сценарий применяется к ip-источника.