在理想情况下，您可以汇总网络上所有资产和威胁媒介的列表，包括但不限于：

• 操作系统风格和版本
• 应用
• 网络基础设施
• 任何其他插入网络的东西

有了它，您可以浏览所有可用的签名，并且只包括适用于您的签名。例如，如果您的网络上不存在 Solaris，那么可能没有理由包含 CVE-2007-0882 的签名（telnet 身份验证绕过）。在这种情况下，您甚至可以在插入第一个传感器之前，在一定程度上确定需要启用哪些规则类别。请记住，这些签名会不断更新和添加，您最好考虑签名类型而不是特定签名。

如果您的网络受到严格监管，请通过您的 CMDB 构建此信息。如果您没有 CMDB，这可能是开始使用 CMDB 的好时机。如果您不在严格控制的网络中，则可以通过进行流量分析或查看数据包捕获来开始。一个好的漏洞评估工具还可以帮助您列出现有的内容。

在任何一种情况下，您都应该假设您开发的任何图片都是不完整的。我建议在启用过多规则的情况下犯错，并计划进行非常激烈的初始调整。

永远不要忘记 IPS/IDS 系统确实有大量的持续维护。随着签名的更新和系统/应用程序的添加/减少，您将需要评估您正在寻找的内容。

除了具有出色技术指导的 Scott 的帖子外，在政策方面，请确保您拥有风险登记册或至少对网络上的每种资产进行某种类型的风险分类。在定义所需保护时，这将是非常宝贵的，并且可以通过要求 IPS 监控更少的流量或完全排除某些主机或网段来简化管理。

运行 SIEM 的一个好处是在执行包括自动化操作在内的操作之前的关联功能。

Q1 Labs QRadar、ArcSight ESM 和OSSIM都具有资产和库存功能。OSSIM 由许多非常适合 IDS 和 IPS 的开源应用程序组成。默认库存提供程序是OCS Inventory NG。在 OSSIM 门户网站中，分析和智能下拉菜单将导致事件/异常（带有 snort、PADS、p0f 和 Ntop 的默认提供程序）和相关控件。

snort-inline 可以用作 OSSIM 的 IPS 提供程序。OSSIM 还具有响应功能，可用于更改防火墙/路由器/交换机/IPS 配置。OpenVAS（默认漏洞管理插件）和 Nessus 有插件，一旦 IPS 被阻塞，就可以使用它们来测试它。可以在 [PDF] [OpenVAS-4] 3上找到 ISSA 杂志主题、toolsmith 的 PDF 文章。

类似的功能在大多数 SIEM 包中很常见。