Ids/ips配置审计

Question

是否有人熟悉可以审计入侵检测/入侵预防工具配置的工具？我正在寻找一个可以检查最佳实践和非标准配置的工具。我搜索了几乎所有的东西，我只想出了白皮书。

Answer 1

它起作用了吗？IPS和IDS是非常特殊的配置。另外，每个提供者的一般行为是不同的。一些失败-打开，一些失败-关闭，有些只是失败。

审计的最佳方法是：

1. 标识哪些资产/资源受到((IP/ID)S)的保护。
2. 记录当前配置。(您需要确切地知道对每个受保护的资产/资源应用了哪些策略)。从字面上说，将资产/资源映射到策略。
3. 确定哪些工具和测试需要针对资产/资源运行。
4. 运行集合并解释结果。
5. 根据需要调整设备。
6. 认识到你会得到错误的结果。
7. 请注意，应用程序是修复漏洞的正确位置。
8. 重复3-7，直到置信度高或完全射击。
9. 如果你的信心评级完全被打中了，或者你不想把所有的重担都压在肩膀上，然后大幅度提高，那就找专家来解决这个问题。

Answer 2

无论谁是IDS/IPS系统的提供者，都应该提供关于如何安装、配置和维护系统的文档指导，以最大限度地提高系统提供的安全性。然后，您应该能够根据该文档审核当前的配置和管理过程，并为维护验证系统版本和正在使用的签名文件是否支持和当前。

如果存在上述情况，则应该能够检测和/或防止入侵和恶意通信。然后，您可以对系统进行调优，以过滤掉噪音，并为警报配置优先级，并决定您的响应、调查和升级过程。