我正在修改现有的 ModSecurity 规则集,我想知道如何处理向生产系统添加新的(主要是)未经测试的规则的过程。
目前,我们确实有一小部分活动规则,这显然是不够的。我想从 OWASP 规则集中添加新规则,而不停用已经活动的规则,但不能冒险因为误报而损失太多流量。
这方面的一般程序是什么?您如何在生产系统上更新 ModSecurity 规则?我认为为新规则建立足够的测试场景是不可能的(或非常耗时),我想将这些规则暴露给“实时流量”以获得可靠的印象。
我基本上需要一种方法,将新规则设置为“DetectionOnly”,同时其他规则仍然有效,并应导致实际阻止检测到的流量。可以使用 ModSecurity 来实现吗?
(另请注意,我们在“传统模式”中使用 ModSecurity。AnomalyScoringMode 中一种有限的可能性可能是将新规则的 AnonmalyScore 设置为 0。)
谢谢!
答案1
为什么不将新规则改为“log,auditlog,pass”而不是“block”或“deny”?