Я экспериментирую с mod_security (2.9) на веб-сервере Apache 2.4. Я создал правило для ограничения скорости запросов для определенного виртуального хоста и блока местоположения, и оно работает, как ожидалось. Теперь я хотел бы взглянуть на установку и мониторинг CRS (3.2) в режиме оценки аномалий.
Насколько я понимаю, рекомендуется, чтобы mod_security был переведен в режим «только обнаружение», а также для отслеживания и корректировки / удаления правил из CRS перед их вводом в производство. Это имеет смысл, но поскольку я не могу переключить mod_security в режим только обнаружения из-за моего правила ограничения скорости в реальном времени, я не верю, что это вариант.
Как я могу выборочно отслеживать правила из CRS (запретить), сохраняя при этом мои запросы на блокировку правил ограничения скорости?
Одна из моих идей заключалась в том, чтобы изменить разрушающее действие в файлах BLOCKING-EVALUATION в соответствии с документацией:
Включить / отключить блокировку
...
Это явно указанное нарушающее действие переопределит действие по умолчанию (в аномальном режиме) и заблокирует транзакцию. Если вы хотите выполнить другое действие, вы должны установить его в двух файлах BLOCKING-EVALUATION ".
Я полагаю, что установка действия на регистрацию и передачу может помочь, но я не думаю, что было бы неплохо изменять эти файлы напрямую? Можно ли изменить действие с помощью SecRuleUpdateActionById в файлах конфигурации, которые предназначены для редактирования?
Предполагая, что вышеуказанная идея работает, как я могу выборочно начать включать определенные части CRS после оценки журналов? Например, я изначально заинтересован в том, чтобы включить обнаружение ботов и сканеров, чтобы они блокировали, но хотели только отслеживать и регистрировать другие части CRS. Не похоже, что это было бы возможно с доступными элементами управления.