Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 643 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Info wanted on finetuning these IDS rules

DanielC
Hi,

Were can I find more info on how to finetune some of these rules. There are some rules who generate an email alers (lots of them). I do want the rule active but I do not want an email for every intrusion. Can somebody point me to docs?
Thanks

Daniel


This thread was automatically locked due to age.
Parents
  • 0
    Daniel,
    in the Webadmin > Intrusion Prevention > Settings you can set the notification level for detected and blocked packets. There are three levels the IPS rules are assigned: high, medium and low. By logging in via console or ssh, change to the directory /var/chroot-snort/etc/snort/rules and have a look in the classification.config file. You will find all groups of IPS with a certain digit: 1,2,3. That reflects the severity level of the rulle. 1 is high and 3 is low. WIth this information, you are able to tune your Intrusion Protection on Astaro.
    /bagira
  • 0 in reply to bagira
    Would be really nice if the severities would show up in the IPS rules pages.

    Barry
Reply Children
  • 0 in reply to BarryG
    My words, hope this will be implemented

    streetfox
  • 0 in reply to streetfox
    Would be even nicer if when it showed up in the Rules list if it was editable.

    Another nicety would be a per rule notification setting.  There are lots of level 1 rules I want to see every notification for, while many others I don't really care to see, but I still want them dropped.

    BTW, Astaro is a god send.  Its already saved me 2 time from what could have easily turned into 20+ hours of clean up and recovery.  Which means it has basically paid for itself already in 2 weeks.  RIO doesn't get any better than that...