Devi selezionare la tua posizione IDS in base a ciò che ti serve. Se hai una rete molto piccola con uno switch, allora questo può essere facile, ma per una proprietà di rete più grande ci sono alcune opzioni:
- Gateway: collegare l'IDS al router / firewall perimetrale in modo da poter monitorare tutto ciò che entra e esce dalla rete. Ciò richiede un'enorme quantità di tuning, dato che ci sono così tante cose automatizzate che cercano di ottenere l'accesso.
- Crown Jewels: localizza il tuo IDS nella subnet in cui si trovano le risorse chiave, in questo modo vedi solo il traffico che è arrivato fino a questo punto, quindi la regolazione dei falsi positivi dovrebbe essere molto più semplice. Lo svantaggio è che non vedi nient'altro sulla rete.
- Agenti: puoi dare a router e switch, o persino a un desktop, un agente che si nutre in un IDS (spesso tramite syslog o altri meccanismi comuni) e puoi basarlo su requisiti specifici.
Ricorda che il problema più grande con qualsiasi IDS è tenerlo regolato in modo da rifiutare il maggior numero di falsi positivi possibili durante la segnalazione di traffico sospetto - e quindi fare in modo che un team risponda e valuti tali avvisi. La quantità di traffico anche su una rete di medie dimensioni può essere incredibilmente difficile da setacciare ...