Snortセンサーの配置

考慮すべき変数がたくさんあるため、センサーの配置は非常に難しい場合があります。少なくとも、考慮に入れる必要があります

• 監視対象リソースの分類レベル
• ネットワーク設計
• システムスループット
• 人員時間（管理および分析用）
• リソースの可用性

これらすべてをブレンダーに投入し、数分間ハイにすると、展開を決定するための最初の良いデータが得られます。展開計画は多段階のプロセスであり、本質的に分離されていませんが、同じ計画の異なる部分であることを覚えておくことは有益です。

データの収集と計画

おそらく、監視するすべてのシステムのリストを作成し、重要度またはリスクに基づいてそれらを評価することです。これにより、現在監視する必要のあるシステムに優先順位を付けることができます。完璧な世界では、すべてのシステムに接続されたリンクを監視するセンサーがあります。しかし、それは恐ろしく高価で、保守が難しく、騒々しいでしょう。代わりに、ネットワークチームに相談して、ネットワーク設計をよく見てください。優先順位付けされたシステムが存在するネットワークマップを把握し、チョークポイントが存在する場所を把握します。センサーに変えるために利用できるハードウェアを見てください。すばらしい環境では、1つの大きなボックスに数10 Gbpsのインターフェースを備え、単一のセンサーを使用して企業全体のすべての監視を行うことができます。ただし、部門の秘書が使用していたため、負荷を分散させる必要がある余剰システムがいくつか存在する可能性が高くなります。

アレイの設計と導入

今こそ、リスク許容しきい値が何であるかを長く考え、考えるときです。機密データにどれくらい近いと思いますか必要センサーを設置する必要がありますか？また、センサーを配置するのにどのくらい離れていると感じますか？場合によっては、サーバーが直接接続されているスイッチポートを監視する必要があります。他のケースでは、建物またはフロアのアップリンクに単一のセンサーを配置し、スイッチ内トラフィックを無視するだけで十分です。別のケースでは、特定のポートをミラーリングするだけでは不十分であると感じ、代わりにVLAN全体をミラーリングする場合があります。

ワークロードとその他の考慮事項

センサーの導入戦略を構築する際には、非常に複雑になる可能性があることに注意してください。 whereを決定してセンサーを配置するときは、発生する他のすべての問題を必ず考慮してください。展開するセンサーごとに、従業員がシステムを実際に維持するための管理オーバーヘッド（パッチの適用、ハードウェアの交換など）、アプリケーション管理オーバーヘッド（シグネチャの更新、ルールセットの微調整、snortdが動作し続けることの確認）、および分析時間（解釈）があります。アラートとアクション）。設計、およびフロントローディングにどれだけの時間を費やすかによって、これらの数値は大幅に変動する可能性があります。たとえば、適切な構成管理/自動化ツールを使用すると、FTEの一部を使用して数十のSnortセンサーを管理することはそれほど難しくありません。