ModSecurity を DetectionOnly モードに設定し、nginx コネクタを使用して CRS の v3.0.0 を使用しています。設定を微調整するために異常スコアを 100 程度に設定したいのですが、どこでどのように設定すればよいのかわかりません。crs-setup.conf を調べています
nginx 1.18.0 が役に立つなら
答え1
各重大度レベルの異常スコアは、ルール ID の下にデフォルトで設定されています900100。crs-setup.confこれらの値を変更する場合は、コメントを解除して編集できます。
例:
SecAction \
"id:900100,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.critical_anomaly_score=100,\
setvar:tx.error_anomaly_score=75,\
setvar:tx.warning_anomaly_score=50,\
setvar:tx.notice_anomaly_score=25"
900110同じく のルール ID を変更することで、リクエスト/レスポンスが拒否されるしきい値を調整することもできますcrs-setup.conf。
例:
SecAction \
"id:900110,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.inbound_anomaly_score_threshold=200,\
setvar:tx.outbound_anomaly_score_threshold=300"