Como defino a pontuação de anomalia em crs-setup.conf?

Question

As pontuações de anomalia para cada nível de gravidade são definidas por padrão no ID da regra 900100no crs-setup.conf. Se quiser modificar esses valores, você pode remover o comentário e editá-los.

Exemplo:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

Você também pode brincar com o limite no qual solicitações/respostas são negadas, modificando o ID da regra 900110, também em crs-setup.conf.

Exemplo:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Answer 1

As pontuações de anomalia para cada nível de gravidade são definidas por padrão no ID da regra 900100no crs-setup.conf. Se quiser modificar esses valores, você pode remover o comentário e editá-los.

Exemplo:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

Você também pode brincar com o limite no qual solicitações/respostas são negadas, modificando o ID da regra 900110, também em crs-setup.conf.

Exemplo:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Como defino a pontuação de anomalia em crs-setup.conf?

Responder1

informação relacionada