¿Cómo puede un administrador elegir qué reglas de Snort habilitar?

Usted acaba de hacer la pregunta más decisiva que tiene un gran impacto en la detección. Es un trabajo a tiempo completo tedioso (bastante interesante) y continuo para afinar mejor los IDS, especialmente en redes grandes.

Reglas generales

• Muy importante. ¡Conoce tu entorno muy bien! No hay excusas este requisito. Tienes que saber lo que estás protegiendo, red. Rangos, aplicaciones, cómo se ejecuta la aplicación y se desarrollan en: incluidos los tipos de servidores web (iis, apache, etc.), sistemas operativos (Linux, Windows, Cisco cosas, etc.), tecnología (asp, php, java, etc.), otros productos (erp, bases de datos, etc.) y, lo que es más importante, qué tipo de datos (ssn, información bancaria, PII, etc.).
• Estudie y compile una lista de toda la información anterior, y los segmentos de red apropiados en los que residen. Le proporcionará un mapa claro de las firmas que realmente necesita, si todos sus servidores web ejecutan IIS con ASP .net, entonces no hay necesidad de firmas php. Si usted es un banco, entonces desea que la mayoría de las firmas de fuga de datos estén activadas. Deberá realizar esta clasificación y clasificación de los tipos de reglas que necesita.
• Deje las firmas estándar como el escaneo de puertos, actividad maliciosa, gusanos / virus principales, etc. activos en IDS, siempre ayudan.
• Mejore y actualice la lista regularmente, haga un seguimiento de los cambios en el medio ambiente, nuevo software / aplicación agregados hasta la fecha de firma lista, y luego seleccione cualquier nueva actualización de firmas.