我正在修改现有的ModSecurity规则集,我想知道如何处理向生产系统添加新(主要)未经testing的规则的过程。
目前,我们确实有一小部分活跃的规则显然是不够的。 我想从OWASP规则集中添加新的规则,而不会停用已经激活的规则,但是由于误报,不会冒失去太多stream量的风险。
这是什么一般程序? 如何更新生产系统上的ModSecurity规则? 我认为为新规定build立足够的testing场景是不可能的(或非常耗时),我希望将这些规则暴露给“实时stream量”以获得可靠的印象。
我基本上需要的是将新规则设置为“DetectionOnly”,而其他人仍然活跃,并应导致实际阻止检测到的stream量。 这可以用ModSecurity完成吗?
(另外请注意,我们在“TraditionalMode”中使用ModSecurity,AnomalyScoringMode中的一个有限的可能性可能是将新规则的AnonmalyScore设置为0)
谢谢!
为什么不把新的规则改为“login,审计日志,通过”而不是“阻止”或“拒绝”呢?