9.2 IDPS调优

IDPS部署后, 需要确定IDPS的报警功能、以及何时如何使用这些功能, 并确保这些功能可常规调整。

IDPS报警功能通常可配置, 且有多种报警方式(包括电子邮件、短信系统、网页、网络管理协议陷阱,以及攻击源的自动阻止),组织需要详细了解并清楚其安装、其行为特性等内容后,才可开始对其进行操作。

如前所述, 借助于SIEM技术, IDPS可更好的对事态进行优先级排序并减少IDPS报警(例如, 将脆弱性评估数据和系统补丁级别与IDPS报警配置进行比较) 。在这种情况下, 借助于网络发现工具和流量分析器可进一步提高IDPS的价值, 并对报警规则进行调整优化。

组织可根据实际情况,来决定是否延迟启用整套报警功能。通常经过试验使得操作要求和报警可能性达到最佳平衡后,才可定制报警规则和响应功能(从而启用整套报警功能)。同时也可根据实际情况确定哪些功能是不必要的、哪些功能对组织更有帮助、哪些功能最有利于组织。当IDPS报警和响应采取自动响应时(特别是允许IDPS指示防火墙阻止已发现的攻击源流量时) , 需要防止被攻击者利用以造成拒绝合法用户的访问即拒绝服务攻击(因为此类响应原为半自动模式,由人员决定是否对攻击进行响应)。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~