NetProwler może być zintegrowany z Intruder Alert za pośrednictwem zestawu agentów SNMP, przechwytujących alarmy generowane przez NetProwler i przekazujących je do Intruder Alert do dalszego przetwarzania.

NetProwler wykorzystuje technikę SDSI (Stateful Dynamic Signature Inspection), separującą przetwarzanie sesji i analizę od bazy danych sygnatur. Pozwala to na dynamiczne uzupełnianie zarówno oprogramowania, jak i sygnatur ataku za pośrednictwem Weba, a także dostosowywanie sygnatur ataków do potrzeb, bez konieczności przełączania systemu w stan offline.

Instalacja i konfigurowanie. Instalacja jest trochę zawiła

z uwagi na wielowarstwową architekturę. Chociaż wszystkie trzy komponenty mogą być technicznie zainstalowane na tym samym hoście, to jednak są rekomendowane maszyny dedykowane dla każdego Agenta i Managera. Konsola może rezydować na hoście współdzielonym.

Konsola NetProwler podzielona jest na dwie części: Configure i Monitor. Panel Monitor zapewnia środki do konfigurowania stacji Manager, dołączania i zarządzania agentami, definiowania reguł ochrony i akcji alarmowych, a także tworzenia i przeglądania raportów. Po zainstalowaniu na odległych hostach każdy moduł Agenta jest definiowany przez wprowadzenie nazwy, adresu IP i hasła, jak również zakresu monitorowanych adresów IP. Każdy Agent ma jeden lub kilka adresów IP przyporządkowanych monitorowaniu, a każdy z monitorowanych adresów ma przyporządkowany odpowiedni zakres sygnatur ataku. Zapewnia to bardzo dużą elastyczność, jest jednak dość skomplikowane w konfigurowaniu. Pomoc w konfigurowaniu zapewnia narzędzie automatycznego konfigurowania o nazwie Profiler.

Przegląda ono sieć, poszukując w niej aktywnych systemów i usług oraz identyfikując je. Na podstawie tej informacji automatycznie określane są podzbiory sygnatur ataków powiązanych z danym hostem. Podzbiory te mogą być uzupełnione ręcznie. Proces ręcznego powiązania specyficznych sygnatur ataku z wieloma hostami opiera się na koncepcji domen. Administrator może tworzyć wiele domen (np. domena serwerów FTP czy serwerów webowych) i każda z nich może być powiązana z dowolną liczbą hostów i sygnaturami ataków. Powiązania domenowe są tworzone ponad automatycznymi powiązaniami Profilera.

Kombinacja agentów monitorujących poszczególne hosty i stosowanych podzbiorów sygnatur ataku zapewnia efektywny sposób obsługi dużych i bardziej obciążonych sieci, kosztem jednak nieco bardziej skomplikowanego procesu konfigurowania. Nowe wzorce ataków mogą być ściągane przez Internet. Możliwe jest też tworzenie kastomizowanych wzorców ataku w module Console, aczkolwiek do wykonania tego jest niezbędna odpowiednia wiedza z zakresu technik ataków.

Okno Monitor konsoli zapewnia administratorowi środki do przeglądania w czasie rzeczywistym ataków na sieć i intruzów penetrujących zasoby sieci. Poza powiadamianiem w czasie rzeczywistym NetProwler może być skonfigurowany do automatycznych reakcji - w tym powiadamiania pocztą elektroniczną, na pager, zakończenia sesji, przejęcia sesji, a także sterowania zaporą ogniową. NetProwler pozwala administratorowi definiować przy użyciu indywidualnych sygnatur ataków i poziomów priorytetów większość akcji odpowiadających na wtargnięcia. Jednak wzrastająca liczba sygnatur ataków może uczynić konfigurowanie akcji dla indywidualnych ataków procesem bardzo czasochłonnym, tak więc prostszym sposobem jest konfigurowanie odpowiedzi na podstawie priorytetów. Przy atakach o wysokim priorytecie można wyzwalać wysyłanie powiadomień pocztą elektroniczną oraz na pager, a także uszczelnić zaporę ogniową, poziom średni to tylko powiadomienie pocztą elektroniczną, a niski - rejestracja zdarzenia w pliku logu.