Linux

如何在 crs-setup.conf 中設置異常分數?

  • August 4, 2021

我正在使用 v3.0.0 的 CRS,ModSecurity 設置為 DetectionOnly 模式和 nginx 連接器。我想將異常分數設置為 100 左右以微調設置,但我看不到在哪里或如何做到這一點。查看 crs-setup.conf

nginx 1.18.0 如果有幫助

預設情況下,每個嚴重性級別的異常分數在規則 ID 下900100設置crs-setup.conf。如果要修改這些值,可以取消註釋並進行編輯。

例子:

SecAction \
"id:900100,\
 phase:1,\
 nolog,\
 pass,\
 t:none,\
 setvar:tx.critical_anomaly_score=100,\
 setvar:tx.error_anomaly_score=75,\
 setvar:tx.warning_anomaly_score=50,\
 setvar:tx.notice_anomaly_score=25"

您還可以通過修改規則 ID 來調整請求/響應被拒絕的門檻值900110,也在crs-setup.conf.

例子:

SecAction \
"id:900110,\
 phase:1,\
 nolog,\
 pass,\
 t:none,\
 setvar:tx.inbound_anomaly_score_threshold=200,\
 setvar:tx.outbound_anomaly_score_threshold=300"

引用自:https://serverfault.com/questions/1073554