¿Cómo configuro la puntuación de anomalía en crs-setup.conf?

Question

Las puntuaciones de anomalía para cada nivel de gravedad se establecen de forma predeterminada en el ID de regla 900100en crs-setup.conf. Si desea modificar estos valores, puede descomentarlos y editarlos.

Ejemplo:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

También puede jugar con el umbral en el que se rechazan las solicitudes/respuestas modificando el ID de la regla 900110, también en crs-setup.conf.

Ejemplo:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Answer 1

Las puntuaciones de anomalía para cada nivel de gravedad se establecen de forma predeterminada en el ID de regla 900100en crs-setup.conf. Si desea modificar estos valores, puede descomentarlos y editarlos.

Ejemplo:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

También puede jugar con el umbral en el que se rechazan las solicitudes/respuestas modificando el ID de la regla 900110, también en crs-setup.conf.

Ejemplo:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

¿Cómo configuro la puntuación de anomalía en crs-setup.conf?

Respuesta1

información relacionada