我使用的是 CRS v3.0.0,其中 ModSecurity 设置为 DetectionOnly 模式,并使用 nginx 连接器。我想将异常分数设置为 100 左右以微调设置,但我不知道在哪里或如何执行此操作。查看 crs-setup.conf
nginx 1.18.0 是否有帮助
答案1
每个严重程度的异常分数默认设置在 中的规则 ID 下900100。crs-setup.conf如果您想修改这些值,可以取消注释并进行编辑。
例子:
SecAction \
"id:900100,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.critical_anomaly_score=100,\
setvar:tx.error_anomaly_score=75,\
setvar:tx.warning_anomaly_score=50,\
setvar:tx.notice_anomaly_score=25"
您还可以通过修改规则 ID 来尝试设置拒绝请求/响应的阈值900110,同样在 中crs-setup.conf。
例子:
SecAction \
"id:900110,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.inbound_anomaly_score_threshold=200,\
setvar:tx.outbound_anomaly_score_threshold=300"