9.2 IDPS調優

IDPS部署后， 需要確定IDPS的報警功能、以及何時如何使用這些功能， 并確保這些功能可常規調整。

IDPS報警功能通常可配置， 且有多種報警方式(包括電子郵件、短信系統、網頁、網絡管理協議陷阱，以及攻擊源的自動阻止)，組織需要詳細了解并清楚其安裝、其行為特性等內容后，才可開始對其進行操作。

如前所述， 借助于SIEM技術， IDPS可更好的對事態進行優先級排序并減少IDPS報警(例如， 將脆弱性評估數據和系統補丁級別與IDPS報警配置進行比較) 。在這種情況下， 借助于網絡發現工具和流量分析器可進一步提高IDPS的價值， 并對報警規則進行調整優化。

組織可根據實際情況，來決定是否延遲啟用整套報警功能。通常經過試驗使得操作要求和報警可能性達到最佳平衡后，才可定制報警規則和響應功能(從而啟用整套報警功能)。同時也可根據實際情況確定哪些功能是不必要的、哪些功能對組織更有幫助、哪些功能最有利于組織。當IDPS報警和響應采取自動響應時(特別是允許IDPS指示防火墻阻止已發現的攻擊源流量時) ， 需要防止被攻擊者利用以造成拒絕合法用戶的訪問即拒絕服務攻擊(因為此類響應原為半自動模式，由人員決定是否對攻擊進行響應)。