granulare IPS-Alert-Mail-Benachrichtigungen per monit

[mscd]

Hallo zusammen,

ich arbeite mich gerade seit einigen Tagen intensiver in die Möglichkeiten der OPNsense ein. Aktuell nutze ich noch zwei Sophos SG310 in einem active/active-cluster ... die XG geht meiner meiner Meinung nach alleine von der usability des Interfaces her (aus Sicht der SG) gar nicht ... aber eh egal ... da mich das OPNsense-Projekt mehr und mehr überzeugt.

Aktuell beschäftige ich mich mit dem IDS/IPS. Ähnlich der Sophos UTM würde ich gerne (für ausgehwählte) Threads ein Mail-Notify erhalten. Die Anleitung, wie man den monit-service hinsichtlich IPS-alterts konfiguriert, habe ich schon erfolgreich durchlaufen. Was mir aktuell noch nicht gefällt, ist das Verhalten von monit, dass für jeden IPS-alert über die monit-Bedingung

content = “blocked“

ein Notify erzeugt wird. IPS-Regeln wie dshield erzeugen hierbei aber dann natürlich fast minütlich eine Warnmeldung, wesshalb ich gerne wüsste, ob man die monit-Bedingung um logische Bedingungen erweitern kann.

Also in der Art ... notify NUR bei „blocked“ aber (beispielweise) NICHT bei „dshield“

Ich hoffe man versteht mein Problem/Anfrage.

Schöne Grüße und besten Dank,
mscd

[mimugmail]

Hast du Mal danach gegoogelt? Ich glaub schon dass es geht. Mein Ansatz wäre aber dshield aus IPS rein und über pf mit firehol alias zu blocken

[mscd]

Also, wenn ich das richtig verstehe, meinst Du wohl dshield aus der IPS rausnehmen ... nicht reinnehmen ... und aks ersatz dafür in den Firewall-Regeln die Firehol-Liste rein, welche dann kein notify erzeugt, oder?

[mimugmail]

Genau, weil IPS ja noch vor pf filtert. Dann bist du geschützt und die alerts sind weg