Desidero eseguire un cron job su ciascuno dei miei host che invii un elenco di tutte le porte aperte a un db centrale su cui eseguirò il controllo e le query forensi.
La mia domanda è: quanto spesso dovrebbe funzionare questo lavoro in modo da poter considerare questa copertura affidabile. Ovviamente eseguirlo spesso potrebbe potenzialmente acquisire troppe risorse dall'host.
Spero che la mia domanda abbia un senso. In caso contrario, qual è l'alternativa.
Dipenderà esclusivamente dal tuo modello di minaccia.
In alcuni ambienti, settimanalmente può andare bene, specialmente combinato con qualcosa come gli avvisi di Tripwire.
Per altri, più dinamici o ambienti a rischio più elevato, si potrebbe desiderare di guardarlo eseguendolo ogni mezz'ora, o anche più frequentemente, come il commento di Mehmet sull'esecuzione ogni 2 secondi (sebbene a mio avviso la rete carichi a quella frequenza sarebbe molto più difficile di quello che vale a meno che tu non abbia una rete molto piccola!)