Я нахожусь в процессе изменения существующего набора правил ModSecurity, и мне интересно, как мне обрабатывать процесс добавления новых (в основном) непроверенных правил в производственные системы.
На данный момент у нас есть небольшой набор активных правил, которого явно недостаточно. Я хотел бы добавить новые правила из набора правил OWASP без деактивации уже активных правил, но я не могу рисковать потерять слишком много трафика из-за ложных срабатываний.
Какова для этого общая процедура? Как вы обновляете правила ModSecurity в своих производственных системах? Я думаю, что невозможно (или очень много времени) создать адекватные сценарии тестирования для новых правил, и я хотел бы предоставить эти правила «живому трафику», чтобы получить достоверное впечатление.
Что мне в основном нужно, так это способ установить новые правила для «DetectionOnly», в то время как другие все еще активны и должны привести к фактической блокировке обнаруженного трафика. Можно ли это сделать с помощью ModSecurity?
(Также обратите внимание, что мы используем ModSecurity в «Традиционном режиме». Несколько ограниченная возможность в AnomalyScoringMode, вероятно, будет заключаться в установке AnonmalyScore новых правил на 0.)
Спасибо!
Почему бы просто не изменить новые правила на «log, auditlog, pass» вместо «block» или «deny»?