<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">
Josh has pretty much nailed it.</div>
<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">
<br>
</div>
<ol>
<li style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">
The CRS rules are generic and don’t update often I usually update them about once a month with minor bug fixes (almost exclusively in the 3.0 branch). If you are looking for signature like protection (i.e what snort does) Trustwave offers commercial rules that
 do just that. We do however recommend that you also use CRS  where reasonable.</li><li style="widows: 1;"><font face="Calibri,sans-serif"> Writing rules isn’t so bad. A good intro is available here: </font><a href="https://www.nccgroup.trust/globalassets/resources/us/presentations/crowell_stjohn_modsecurity_introduction.pdf" dir="ltr" style="color: rgb(102, 0, 153) !important; font-family: arial, sans-serif; font-size: 13px; line-height: 16px; widows: 1; background-color: rgb(245, 245, 245); display: inline !important; font-stretch: inherit !important; border: 0px !important; margin: 0px !important; padding: 0px !important; text-decoration: none !important; background-image: none !important;">https://www.nccgroup.trust/globalassets/resources/us/presentations/crowell_stjohn_modsecurity_introduction.pdf</a><span style="widows: 1; background-color: rgb(245, 245, 245);"><font color="#202020" face="arial,sans-serif"><span style="font-size: 13px; line-height: 16px;">.
  Ultimately if you want to get into it in any depth I recommend buying Ivan’s ModSecurity Handbook (</span></font></span><a href="https://www.feistyduck.com/books/modsecurity-handbook/">https://www.feistyduck.com/books/modsecurity-handbook/</a>). Its a treasure
 trove of information and is a great start.</li><li style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">
 The UI I use most often is AuditConsole from Jwall but your milage may vary. Many people use splunk. I have a blog post coming out soon that details how to save logs directly to any database such that you can use/make pretty much any log analyzer. </li></ol>
<div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">
<br>
</div>
<span id="OLK_SRC_BODY_SECTION" style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Joshua Roback <<a href="mailto:jroback@gmail.com">jroback@gmail.com</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, July 14, 2015 at 9:26 AM<br>
<span style="font-weight:bold">To: </span>Rishi nand <<a href="mailto:aadimanavtest@gmail.com">aadimanavtest@gmail.com</a>>, "<a href="mailto:owasp-modsecurity-core-rule-set@lists.owasp.org">owasp-modsecurity-core-rule-set@lists.owasp.org</a>" <<a href="mailto:owasp-modsecurity-core-rule-set@lists.owasp.org">owasp-modsecurity-core-rule-set@lists.owasp.org</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Owasp-modsecurity-core-rule-set] Need Help for Mod security<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">
<div>1) Typically open source rules are updated along with new ModSecurity releases.  There isn't really a need to update as frequently as an IDS since the scope of detection requirements for a WAF is much smaller.<br>
<br>
</div>
2) Spent time looking at the rules to get a feel for the format and the purpose and then buy
<br>
The Web Application Defender's Cookbook - <a href="http://scanmail.trustwave.com/?c=4062&d=kZOl1fQMIZX7mJz_iVyCNeOaH9906S4ZT7oOwuBozg&s=5&u=http%3a%2f%2fwww%2eamazon%2ecom%2fWeb-Application-Defenders-Cookbook-Protecting%2fdp%2f1118362187%2fref%3dsr%5f1%5f2%3fie%3dUTF8%26qid%3d1436880245%26sr%3d8-2%26keywords%3dweb%2bapplication%2bcookbook">
http://www.amazon.com/Web-Application-Defenders-Cookbook-Protecting/dp/1118362187/ref=sr_1_2?ie=UTF8&qid=1436880245&sr=8-2&keywords=web+application+cookbook</a><br>
<div><a href="http://scanmail.trustwave.com/?c=4062&d=kZOl1fQMIZX7mJz_iVyCNeOaH9906S4ZT-ZemLcwnA&s=5&u=https%3a%2f%2fgithub%2ecom%2fSpiderLabs%2fModSecurity%2fwiki%2fReference-Manual">https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual</a><br>
<a href="http://scanmail.trustwave.com/?c=4062&d=kZOl1fQMIZX7mJz_iVyCNeOaH9906S4ZT-1dm-Zmzg&s=5&u=http%3a%2f%2fwww%2eatomicorp%2ecom%2fwiki%2findex%2ephp%2fMod%5fsecurity">http://www.atomicorp.com/wiki/index.php/Mod_security</a><br>
<br>
</div>
<div>3) Don't know about this.  I use a proprietary application. <br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr">On Tue, Jul 14, 2015 at 7:49 AM Rishi nand <<a href="mailto:aadimanavtest@gmail.com">aadimanavtest@gmail.com</a>> wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hi There
<div><br>
</div>
<div>I am new to modsecurity and want to try in our organization, but came across few doubts. I will be glad if any body can clear them</div>
<div><br>
</div>
<div>1. OWASP modsecurity CRS : are these rules update daily (like snort rules, If so how to update). or how often they will update, In that case how to update them.</div>
<div>2. if i want to write my own custom rules how can i proceed :- where to create file and in which directory, Can i write all the rules in one file or a separate rule for each file</div>
<div>3. any recommended UI for modsecurity</div>
<div><br>
</div>
<div>Thanks in advance</div>
<div><br clear="all">
<div><br>
</div>
-- <br>
<div>
<div dir="ltr"><font face="comic sans ms,sans-serif" color="#666666">Cheer's</font>
<div><font face="comic sans ms,sans-serif" color="#666666"><br>
</font></div>
<div><font face="comic sans ms,sans-serif" color="#666666">Nand</font></div>
</div>
</div>
</div>
</div>
_______________________________________________<br>
Owasp-modsecurity-core-rule-set mailing list<br>
<a href="mailto:Owasp-modsecurity-core-rule-set@lists.owasp.org" target="_blank">Owasp-modsecurity-core-rule-set@lists.owasp.org</a><br>
<a href="http://scanmail.trustwave.com/?c=4062&d=kZOl1fQMIZX7mJz_iVyCNeOaH9906S4ZT-sPw-czwA&s=5&u=https%3a%2f%2flists%2eowasp%2eorg%2fmailman%2flistinfo%2fowasp-modsecurity-core-rule-set" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set</a><br>
</blockquote>
</div>
</div>
</div>
</span><br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br>
</font>
</body>
</html>