Ciao a tutti,
chiedo a chi è più esperto un consiglio per un problema che ho
riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale
mi arrivano random notifiche di tentativi di logon falliti (avevo
configurato un task di notifica di avviso al verificarsi di un evento ID
4776 e di lock account) , andando a vedere i log vedo che la Source
Workstation cambia continuamente con nomi casuali vanificando così ogni
tentativo di identificare la macchina sorgente.
Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla
rete interna ma secondo voi come è possibile identificare il vero
indirizzo IP dell'attacker?
So che ci sono anche gli EDR che permettono di identificarli ma mi
servirà installare un agent su tutte le macchine, anche quelle remote, e
mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi
subito questo attacco.
grazie!
Andrea
- Identificare attacchi brute force Andrea
-
