攻撃遮断くんのルールアクションを変更する場合は以下のいずれかの手順を実施してください。
【1】WAF設定単位でアクションを変更する
管理画面[WAF設定]->[監視基本設定]から「遮断モード」項目を設定します。
- ON(遮断モード):ルールアクション「遮断」が有効になります。
- OFF(検知モード):ルールアクション「遮断」が無効になります。ルールアクションが「遮断」の場合も検知のみ実施されます(攻撃ログ上は「遮断」と表示されます。)
注意:
- WAF設定に登録されている全エージェントで同様のルールアクションとなります。
【2】ルール単位でアクションを変更する
管理画面[WAF設定]->[WAFルール]から「アクション」項目を設定します。
- 遮断:遮断モードで動作します(監視基本設定が「遮断モード:ON」に設定されている必要があります)。
- 検知:検知モードで動作します。
- OFF:ルールが無効になります(検知・遮断を行いません)。
注意:
- WAF設定に登録されている全エージェントで同様のルールアクションとなります。
検索条件単位での一括更新や、全ルール一括更新も可能です。詳細は「利用マニュアル > 2-4 ルールアクションを変更」をご参照ください。
【3】エージェント単位でアクションを変更する
Webサーバにて攻撃遮断くんエージェントの設定ファイルを編集することで、エージェント単位の動作モード設定が可能です。
注意:
- WAF設定が遮断モード・遮断アクションでも検知動作となります。
- 本手順で実施した設定は管理画面から確認できません(上記管理画面上からの設定を推奨します)。
- WAF設定で1エージェントのみ検知モードにする場合などにご利用ください。
【手順】
1. エージェントの設定ファイルossec.confを編集します
<ファイルパス>
- Linux版: /var/shadan-kun/etc/ossec.conf
- Windows版: (Program Files or Program Files(x86))¥ossec-agent¥ossec.conf
<編集内容>
</ossec_config>の前に以下の記述(<active-response>~</active-response>)を追記します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
・
・
・
<active-response>
<disabled>yes</disabled>
</active-response>
</ossec_config>
・
・メニューバー > Manage > Restart
・
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~補足:
- 遮断モードにする場合は設定値を「no」にするか追記内容を削除してください。
2. エージェントを再起動します
- Linux版:
# /var/shadan-kun/bin/ossec-control restart - Windows版:
管理メニュー[Manage]->[Restart」