config/active-response.template

   1   <!-- Active Response Config -->
   2   <active-response>
   3     <!-- This response is going to execute the host-deny
   4        - command for every event that fires a rule with
   5        - level (severity) >= 6.
   6        - The IP is going to be blocked for  600 seconds.
   7       -->
   8     <command>host-deny</command>
   9     <location>local</location>
  10     <level>6</level>
  11     <timeout>600</timeout>
  12   </active-response>
  13
  14   <active-response>
  15     <!-- Firewall Drop response. Block the IP for
  16        - 600 seconds on the firewall (iptables,
  17        - ipfilter, etc).
  18       -->
  19     <command>firewall-drop</command>
  20     <location>local</location>
  21     <level>6</level>
  22     <timeout>600</timeout>
  23   </active-response>