7 Vận hành
7.2 Tinh chỉnh IDPS
Theo sau việc triển khai IDPS, tổ chức nên quyết định cái gì, khi nào và làm thế nào có thể sử dụng các tính năng cảnh báo IDPS và để đảm bảo các tính năng được điều chỉnh thường xuyên.
Hầu hết IDPS đi kèm với các đặc điểm cảnh báo có thể cấu hình cho phép một loạt các tùy chọn cảnh báo bao gồm: thư điện thử, SMS, giao thức quản lý mạng, và ngăn chặn tự động các nguồn tấn công. Mặc dù có nhiều tính năng cảnh báo hấp dẫn, nhưng tổ chức nên xem xét thận trọng việc sử dụng các tính năng này cho tới khi đạt được độ ổn định về cài đặt IDPS và trong một số ngữ cảnh hành vi của IDPS trong môi trường của tổ chức.
Như đã đề cập trước đó, việc sử dụng công nghệ SIEM có thể mang lại giá trị lớn trong việc ưu tiên và giảm nhẹ các cảnh báo IDPS, ví dụ việc so sánh dữ liệu đánh giá điểm yếu, mức độ vá lỗi hệ thống với cấu hình cảnh báo IDPS. Trong phạm vi sử dụng công cụ khám phá mạng và bộ phân tích lưu lượng có thể thêm giá trị và cho phép tinh chỉnh các luật cảnh báo.
Trong một số trường hợp, tổ chức nên trì hoãn việc kích hoạt đầy đủ các tính năng cảnh báo cho tới khi giai đoạn kiểm thử có độ cân bằng tốt nhất cho các yêu cầu vận hành và khả năng cảnh báo, để cuối cùng cho phép việc tùy biến các luật cảnh báo và phản ứng. Tổ chức sau đó phải quyết định các tính năng cần thiết mang lại một hoặc nhiều lợi ích hơn so với các tính năng khác. Trong trường hợp các tính năng cảnh báo và phản ứng bao gồm tự động phản ứng lại các tấn công, đặc biệt tính năng cho phép IDPS ra lệnh cho tường lửa thực hiện ngăn chặn lưu lượng từ các nguồn được cho là tấn công, tổ chức nên đặc biệt cẩn thận khi kẻ tấn công sử dụng tính năng IDPS này để từ chối truy cập tới người dùng hợp pháp. Ví dụ như tự gây ra tấn công từ chối dịch vụ. Ban đầu các tính năng này nên
đặt trong chế độ bán tự động, mà trong đó con người nên quyết định có nên kích hoạt phản ứng IDPS không.