uno sniffer?
Anche una roba basica come
https://www.nirsoft.net/utils/tcp_log_view.html
Il 20/11/21 17:10, Andrea ha scritto:
Ciao a tutti,
chiedo a chi è più esperto un consiglio per un problema che ho
riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale
mi arrivano random notifiche di tentativi di logon falliti (avevo
configurato un task di notifica di avviso al verificarsi di un evento ID
4776 e di lock account) , andando a vedere i log vedo che la Source
Workstation cambia continuamente con nomi casuali vanificando così ogni
tentativo di identificare la macchina sorgente.
Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla
rete interna ma secondo voi come è possibile identificare il vero
indirizzo IP dell'attacker?
So che ci sono anche gli EDR che permettono di identificarli ma mi
servirà installare un agent su tutte le macchine, anche quelle remote, e
mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi
subito questo attacco.
grazie!
Andrea
--
Paolo Giardini
EUCIP Certified Professional
Consulente Informatico Forense
Consulente per la Sicurezza delle Informazioni Data Protection Officer e
Privacy Officer
Lead Auditor ISO/IEC 27001:2017, ISO/IEC 27701:2019 TUV Italia Lead
Auditor GDPR Compliance Bureau Veritas Italia Lead Auditor Data Privacy
Certification (GDPR)
Professionista Informatico disciplinato ai sensi della legge 4/2013
Iscritto a Associazione Informatici Professionisti al n. 2756 Iscritto a
Federprivacy al n.FP-1337
Membro del Cybersecurity National Lab
CINI Consorzio Interuniversitario per l'Informatica Socio di: CLUSIT
Associazione Italiana per la sicurezza informatica Italian Linux Society
- Cyber Saiyan
Cel.337.652876 - Fax 075.93831174 - skype pgiardini
https://www.solution.it - https://www.craccaaltesoro.it
