audit di configurazione Ids / ips [chiuso]

2

Qualcuno ha familiarità con uno strumento che può controllare la configurazione di uno strumento di rilevamento delle intrusioni / prevenzione delle intrusioni? Sto cercando uno strumento in grado di verificare le best practice e le configurazioni non standard. Ho cercato su Google tutto e mi viene in mente solo un white paper.

    
posta user2219930 24.10.2016 - 17:54
fonte

2 risposte

1

Funziona? IPS e IDS sono configurazioni molto specifiche. Inoltre, il comportamento generale di ciascun provider è diverso. Alcuni falliscono, alcuni falliscono e alcuni falliscono.

Il modo migliore per controllare è:

  1. Identifica quali risorse / risorse sono protette da ((IP | ID) S).
  2. Documenta le configurazioni correnti. (È necessario sapere esattamente quali politiche vengono applicate a ciascuna risorsa / risorsa protetta). Letteralmente, mappa risorse / risorse per la politica.
  3. Determina quali strumenti e test devono essere eseguiti contro le risorse / risorse.
  4. Esegui i set e interpreta i risultati.
  5. Accordare il dispositivo secondo necessità.
  6. Comprendi che otterrai risultati falsi (neg | positivi).
  7. Renditi conto che l'applicazione è il posto giusto per correggere le vulnerabilità.
  8. Ripeti 3-7 fino a quando la valutazione di fiducia è alta o completamente sparata.
  9. Se il livello di confidenza è completamente sparato o se non vuoi avere tutto questo peso sulle spalle e un'imponente accelerazione, fai in modo che gli esperti si occupino del problema.
risposta data 24.10.2016 - 21:21
fonte
0

Chiunque sia il fornitore del sistema IDS / IPS dovrebbe fornire una guida documentata su come installare, configurare e mantenere il sistema per massimizzare la sicurezza che fornisce. Dovresti quindi essere in grado di controllare la configurazione corrente e il processo di gestione rispetto a quella documentazione e per verificare che la versione del sistema e i file delle firme in uso siano supportati e aggiornati.

Se quanto sopra è a posto, dovresti essere in grado di rilevare e / o prevenire intrusioni e traffico dannoso. Quindi puoi ottimizzare il sistema per filtrare il rumore e configurare le priorità per gli avvisi e decidere i tuoi processi di risposta, indagine e escalation.

    
risposta data 24.10.2016 - 21:45
fonte

Leggi altre domande sui tag