Ci sono due modi per eseguire un IDS:
- per rilevare tentativi di attacco
- per rilevare attacchi riusciti
La modalità è definita dalle regole che sono abilitate. Nella maggior parte degli ambienti, come il tuo, non esiste una strategia chiara che porti all'attivazione di entrambi i tipi di eventi.
Se vuoi rilevare solo gli attacchi che hanno avuto successo (e ignorando i tentativi che comunque non hanno successo), abilita semplicemente le firme per i prodotti e le versioni che stai utilizzando. Ad esempio, se non si utilizza Apache, disabilitare tutte le firme di Apache. Potrebbe essere necessario del tempo per raccogliere dati sull'inventario del software e implementarlo sull'IDS. Inoltre, dovresti apportare modifiche all'IDS ogni volta che cambia il tuo panorama software. Non sottovalutare lo sforzo per questo. Ma poi sei in grado di determinare i tentativi di attacco e il possibile successo che potrebbero avere un impatto sul tuo ambiente prima o poi.
Inoltre, le firme IDS / IPS di solito vengono fornite con categorie . Ad esempio i filtri di protezione di TippingPoint stanno usando le categorie Ricognizione per l'enumerazione, Vulnerabilità per il rilevamento di problemi di sicurezza comuni e Exploit per azioni provocate da veri e propri tentativi di attacco. Eliminare le categorie abilitate potrebbe anche aiutare a prevenire il rumore non collegato ad attacchi riusciti.