Wie stelle ich den Anomalie-Score in crs-setup.conf ein?

Question

Anomaliewerte für jeden Schweregrad werden standardmäßig unter der Regel-ID 900100in festgelegt crs-setup.conf. Wenn Sie diese Werte ändern möchten, können Sie die Kommentare entfernen und sie bearbeiten.

Beispiel:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

Sie können auch mit dem Schwellenwert experimentieren, bei dem Anfragen/Antworten abgelehnt werden, indem Sie die Regel-ID ändern 900110, ebenfalls in crs-setup.conf.

Beispiel:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Answer 1

Anomaliewerte für jeden Schweregrad werden standardmäßig unter der Regel-ID 900100in festgelegt crs-setup.conf. Wenn Sie diese Werte ändern möchten, können Sie die Kommentare entfernen und sie bearbeiten.

Beispiel:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

Sie können auch mit dem Schwellenwert experimentieren, bei dem Anfragen/Antworten abgelehnt werden, indem Sie die Regel-ID ändern 900110, ebenfalls in crs-setup.conf.

Beispiel:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Wie stelle ich den Anomalie-Score in crs-setup.conf ein?

Antwort1

verwandte Informationen