如何在 crs-setup.conf 中設定異常分數？

Question

900100預設情況下，每個嚴重性等級的異常分數在中的規則 ID 下設定crs-setup.conf。如果您想修改這些值，可以取消註解並進行編輯。

例子：

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

您也可以透過修改規則 ID 來調整請求/回應被拒絕的閾值900110（也在crs-setup.conf.

例子：

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

Answer 1

900100預設情況下，每個嚴重性等級的異常分數在中的規則 ID 下設定crs-setup.conf。如果您想修改這些值，可以取消註解並進行編輯。

例子：

SecAction \
 "id:900100,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.critical_anomaly_score=100,\
  setvar:tx.error_anomaly_score=75,\
  setvar:tx.warning_anomaly_score=50,\
  setvar:tx.notice_anomaly_score=25"

您也可以透過修改規則 ID 來調整請求/回應被拒絕的閾值900110（也在crs-setup.conf.

例子：

SecAction \
 "id:900110,\
  phase:1,\
  nolog,\
  pass,\
  t:none,\
  setvar:tx.inbound_anomaly_score_threshold=200,\
  setvar:tx.outbound_anomaly_score_threshold=300"

如何在 crs-setup.conf 中設定異常分數？

答案1

相關內容