IPS/Suricata rule(s) en Block umsetzen

[ford]

Servus,

gegeben ist OSv.16.7.4, mit- logischer Weise- den aktuellen Suricata Rulesets.

Wenn ich in der GUI nun zu den einzelen Rules gehe:
Services > Intrusion Detection > Rules

Und dort rechts oben filter, z.B. nach
Classtype: trojan-activity
Action: Alert
Anzahl:1000

Sehe ich eine Liste der Rules
und kann jeder Einzelnen über den "info" button
dem flag "Action" > "Alert" oder "Block" zuweisen.
 
Gibt es eine Möglichkeit gleich alle Rules mit dem gewählten Classtype von Alert auf Block zu setzen,
oder muss ich jede Einzelne, von meinen z.Zt. 10393 händisch umsetzen?

greetz
Rainer

[jschellevis]

Sie können auch auf das Symbol (i) unter Einstellungen klicken und das gesamten Regelsatz ändern.
Siehe Anhang.

-Jos

[ford]

thx Jos,

nur ändert das nicht alle _einzelnen_ Rules.
Oder bedeutet das "alert", dass das "block" im logfile drin steht
und "drop" eben nicht gelogt wird?

Ich habe mal ein Bild angehangen (falls es funktioniert) ;-)


Grüsse
Rainer

P.S.: ich nutze FF48.0.2

[franco]

Hey Rainer,

Die Buttons unten links sind gar keine Checkboxen, stiften damit viel Verwirrung.

Bin gerade noch dabei die IDS Frontseite aufzuräumen, die braucht ähnliche Fixes.

Die Idee: Checkbox bleibt Checkbox, davon auch nur eine Reihe (die linke), die rechte wird durch ein Text-Label und/oder Ausgrauen der Zeile dargestellt. Und die Buttons werden orange mit Text anstatt Symbol.

Ja, ist genau das selbe Problem wie auf der Hauptseite. Macht Sinn?


Grüsse
Franco