Dipende da cosa accade, netflow o packet capture potrebbero aiutarti. Specialmente se hai nu router decente davanti a questo server o qualcosa che possa inviare una copia del traffico a una macchina puoi poi analizzare cosa sta accadendo.
Dario -----Original Message----- From: Andrea <[email protected]> Reply-To: [email protected] To: [email protected] Subject: Identificare attacchi brute force Date: Sat, 20 Nov 2021 17:10:43 +0100 Ciao a tutti, chiedo a chi è più esperto un consiglio per un problema che ho riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale mi arrivano random notifiche di tentativi di logon falliti (avevo configurato un task di notifica di avviso al verificarsi di un evento ID 4776 e di lock account) , andando a vedere i log vedo che la Source Workstation cambia continuamente con nomi casuali vanificando così ogni tentativo di identificare la macchina sorgente. Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla rete interna ma secondo voi come è possibile identificare il vero indirizzo IP dell'attacker? So che ci sono anche gli EDR che permettono di identificarli ma mi servirà installare un agent su tutte le macchine, anche quelle remote, e mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi subito questo attacco. grazie! Andrea
