granulare IPS-Alert-Mail-Benachrichtigungen per monit

Started by mscd, March 12, 2021, 10:36:27 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 12, 2021, 10:36:27 PM
Hallo zusammen,

ich arbeite mich gerade seit einigen Tagen intensiver in die Möglichkeiten der OPNsense ein. Aktuell nutze ich noch zwei Sophos SG310 in einem active/active-cluster ... die XG geht meiner meiner Meinung nach alleine von der usability des Interfaces her (aus Sicht der SG) gar nicht ... aber eh egal ... da mich das OPNsense-Projekt mehr und mehr überzeugt.

Aktuell beschäftige ich mich mit dem IDS/IPS. Ähnlich der Sophos UTM würde ich gerne (für ausgehwählte) Threads ein Mail-Notify erhalten. Die Anleitung, wie man den monit-service hinsichtlich IPS-alterts konfiguriert, habe ich schon erfolgreich durchlaufen. Was mir aktuell noch nicht gefällt, ist das Verhalten von monit, dass für jeden IPS-alert über die monit-Bedingung

content = "blocked"

ein Notify erzeugt wird. IPS-Regeln wie dshield erzeugen hierbei aber dann natürlich fast minütlich eine Warnmeldung, wesshalb ich gerne wüsste, ob man die monit-Bedingung um logische Bedingungen erweitern kann.

Also in der Art ... notify NUR bei ,,blocked" aber (beispielweise) NICHT bei ,,dshield"

Ich hoffe man versteht mein Problem/Anfrage.

Schöne Grüße und besten Dank,
mscd
March 13, 2021, 09:01:09 AM #1
Hast du Mal danach gegoogelt? Ich glaub schon dass es geht. Mein Ansatz wäre aber dshield aus IPS rein und über pf mit firehol alias zu blocken
March 13, 2021, 10:16:30 AM #2
Also, wenn ich das richtig verstehe, meinst Du wohl dshield aus der IPS rausnehmen ... nicht reinnehmen ... und aks ersatz dafür in den Firewall-Regeln die Firehol-Liste rein, welche dann kein notify erzeugt, oder?
March 13, 2021, 11:36:57 AM #3
Genau, weil IPS ja noch vor pf filtert. Dann bist du geschützt und die alerts sind weg
Print
Go Up Pages1
User actions