저는 ModSecurity가 NavigationOnly 모드로 설정되어 있고 nginx 커넥터가 있는 CRS v3.0.0을 사용하고 있습니다. 이상 징후 점수를 100 정도로 설정해서 미세하게 설정을 하고 싶은데 어디서, 어떻게 해야 하는지 모르겠습니다. crs-setup.conf를 보면
nginx 1.18.0 도움이 된다면
답변1
각 심각도 수준에 대한 이상 점수는 기본적으로 의 규칙 ID 900100에 설정됩니다 crs-setup.conf. 이 값을 수정하려면 주석 처리를 해제하고 편집하면 됩니다.
예:
SecAction \
"id:900100,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.critical_anomaly_score=100,\
setvar:tx.error_anomaly_score=75,\
setvar:tx.warning_anomaly_score=50,\
setvar:tx.notice_anomaly_score=25"
900110에서도 규칙 ID를 수정하여 요청/응답이 거부되는 임계값을 조정할 수도 있습니다 crs-setup.conf.
예:
SecAction \
"id:900110,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.inbound_anomaly_score_threshold=200,\
setvar:tx.outbound_anomaly_score_threshold=300"