En la situación ideal, reuniría una lista de todos los activos y vectores de amenazas en su red, que incluyen, entre otros:
- Sabores y versiones del sistema operativo
- aplicaciones
- infraestructura de red
- Cualquier otra cosa conectada a la red
Con eso, puede analizar todas las firmas que están disponibles e incluir solo las que se aplican a usted. Por ejemplo, si Solaris no existe en su red, entonces probablemente no haya razón para incluir una firma para CVE-2007-0882 (la omisión de autenticación de telnet). En este caso, puede determinar, con cierto grado de precisión, qué clases de reglas deben habilitarse incluso antes de insertar su primer sensor. Teniendo en cuenta que estas firmas se actualizan y agregan constantemente, es mejor pensar en términos de tipos de firmas en lugar de firmas específicas.
Si tiene una red bien regulada, revise su CMDB para obtener esta información. Si no tiene un CMDB, este podría ser un buen momento para comenzar uno. Si está no en una red bien controlada, entonces puede comenzar haciendo análisis de flujo o revisando capturas de paquetes. Una buena herramienta de evaluación de vulnerabilidades también podría ayudar a darle una lista de lo que hay por ahí.
En cualquier caso, debe asumir que cualquier imagen que desarrolle está incompleta. Recomendaría cometer errores al habilitar demasiadas reglas, y solo planear un ajuste inicial bastante intenso.
Nunca olvide que un sistema IPS / IDS tiene una buena cantidad de mantenimiento continuo. A medida que se actualicen las firmas y se agreguen / resten sistemas / aplicaciones, deberá evaluar lo que está buscando.