OSSEC主动响应主机拒绝配置

OSSEC主动响应主机拒绝配置

我正在尝试配置 OSSEC 主动响应,以便使用主机拒绝命令在 600 秒警报级别或以上的时间范围内阻止 IP。

  <active-response>
    <command>host-deny</command>
    <location>local, server</location>
    <level>10</level>
    <timeout>3600</timeout>

  </active-response>

我可以将时间范围添加到以下代码中,并在 x 秒内至少 600 秒内或以上发出 3 个警报,但如果没有更多活动,则在 y 秒后解除阻止。

另外,是否可以在服务器的本地配置中而不是在全局配置中将某些IP列入白名单?

相关内容