Как установить оценку аномалии в crs-setup.conf?

Question

Оценки аномалий для каждого уровня серьезности устанавливаются по умолчанию под идентификатором правила 900100в crs-setup.conf. Если вы хотите изменить эти значения, вы можете раскомментировать и отредактировать их.

Пример:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

Вы также можете поиграть с пороговым значением, при котором запросы/ответы отклоняются, изменив идентификатор правила 900110, также в crs-setup.conf.

Пример:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Answer 1

Оценки аномалий для каждого уровня серьезности устанавливаются по умолчанию под идентификатором правила 900100в crs-setup.conf. Если вы хотите изменить эти значения, вы можете раскомментировать и отредактировать их.

Пример:

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

Вы также можете поиграть с пороговым значением, при котором запросы/ответы отклоняются, изменив идентификатор правила 900110, также в crs-setup.conf.

Пример:

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Как установить оценку аномалии в crs-setup.conf?

решение1

Связанный контент