国防部在审计日志中的安全异常评分

Question

在我的CRS-setup.conf中，我已经将异常评分级别配置为8，当我检查我的审计日志时，会看到以下条目：

--f0d8a724-H--
Message: Warning. detected XSS using libinjection. [file "/etc/httpd/modsecurity.d/owasp-modsecurity-crs/rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf"] [line "64"] [id "941100"] [rev "2"] [msg "XSS Attack Detected via libinjection"] [data "Matched Data:  found within ARGS:page: /One-Initial-Bordered-Card?cross-sell=1"] [severity "CRITICAL"] [ver "OWASP_CRS/3.0.0"] [maturity "1"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-xss"] [tag "OWASP_CRS/WEB_ATTACK/XSS"] [tag "WASCTC/WASC-8"] [tag "WASCTC/WASC-22"] [tag "OWASP_TOP_10/A3"] [tag "OWASP_AppSensor/IE1"] [tag "CAPEC-242"]
Apache-Error: [file "apache2_util.c"] [line 271] [level 3] [client %s] ModSecurity: %s%s [uri "%s"]%s
Apache-Handler: application/x-httpd-php
Stopwatch: 1512753208830562 28609 (- - -)
Stopwatch2: 1512753208830562 28609; combined=1561, p1=361, p2=888, p3=55, p4=215, p5=41, sr=54, sw=1, l=0, gc=0

如果我将我的SecRuleEngine切换到on而不是debug，那么上面的事件会被阻止吗？我是否正确地认为，由于该事件没有超过异常分数8，它会允许这一请求？我的审计日志中还有其他事件，这些事件显然超过了8的阈值，因此，除非审计日志具体说明它超过了阈值，否则请求不会被阻止，这是否是一个公平的假设？

如果是这样的话，是否有一种方法可以将审计日志配置为只有在SecRuleEngine被设置为on时会被阻塞的日志事件？我不希望在审计日志中看到任何不超过阈值级别的部分匹配。

Answer 1

如果我将我的SecRuleEngine切换到on而不是debug，那么上面的事件会被阻止吗？我是否正确地认为，由于该事件没有超过异常分数8，它会允许这一请求？我的审计日志中还有其他事件，这些事件显然超过了8的阈值，因此，除非审计日志具体说明它超过了阈值，否则请求不会被阻止，这是否是一个公平的假设？

是的那是对的。

如果是这样的话，是否有一种方法可以将审计日志配置为只有在SecRuleEngine被设置为on时会被阻塞的日志事件？我不希望在审计日志中看到任何不超过阈值级别的部分匹配。

不没有。这也是我不喜欢异常模式得分的主要原因之一。即使你打开它，你也会看到这种噪音。了解攻击是否会被阻止的唯一方法是异常检查是否在结束时运行(规则if为949110 - 949118)。