Hallo zusammen,
ich habe aktuell eine Frage zum IPS System.
Und zwar habe ich einige Regeln aktiviert, welche unter "Policies" in einem Eintrag hinterlegt sind, als Aktion ist dort "Standard" hinterlegt.
Somit sollten die Regeln ja erstmal ihre Standard Aktion durchführen.
Nun habe manche Regeln über die Seite der "Alarmmeldungen/Alerts" überschrieben, damit diese geblockt werden.
Diese tauchen dort aber weiterhin mit der Aktion "allowed" auf.
Habe ich da noch was übersehen?
Danke euch
In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.
Quote from: bimbar on April 07, 2022, 10:23:27 AM
In Intrusion Detection -> Policy muss die Action auf "DROP" umgeschrieben werden. Standardaction ist, denke ich, alert.
Danke dir.
Also reicht es nicht die jeweilige Regel im Alert Tab auf "Drop" zu stellen.
Man muss zusätzlich noch eine vorher greifende Policy anlegen.
Werde ich mal testen
So wie ich das sehe kann ich damit aber nur die gesamte Suricata Rule von Alert auf Drop setzen?
Beispielsweise soll folgende ET-SCAN Rule blockiert werden, die anderen ET Scan Rules weiterhin auf Alert
ET SCAN Mirai Variant User-Agent (Inbound)