Quiero ejecutar un trabajo cron en cada uno de mis hosts que envía una lista de todos los puertos abiertos a una base de datos central en la que ejecutaré auditorías y consultas forenses.
Mi pregunta es con qué frecuencia debería ejecutarse este trabajo para poder considerar que esta cobertura es confiable. Obviamente, ejecutarlo a menudo podría potencialmente adquirir demasiados recursos del host.
Espero que mi pregunta tenga sentido. Si no es así, ¿cuál es la alternativa?
Esto dependerá únicamente de su modelo de amenaza.
En algunos entornos, semanalmente puede estar bien, especialmente combinado con algo como la alerta de Tripwire.
Para otros entornos más dinámicos o de mayor riesgo, puede desear ejecutarla cada media hora, o incluso con más frecuencia, como el comentario de Mehmet sobre la ejecución cada 2 segundos (aunque en mi opinión la red se carga a esa frecuencia sería mucho más problemático de lo que vale a menos que tenga una red muy pequeña!)