Ciao Andrea, Se la tua infrastruttura è piuttosto grande ti suggerisco un test di tecnologie di machine learning che si occupano di ricevere in mirroring il traffico completo dagli switch di core.
JMT Il giorno sab 20 nov 2021 alle 17:15 Andrea <[email protected]> ha scritto: > Ciao a tutti, > chiedo a chi è più esperto un consiglio per un problema che ho > riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale > mi arrivano random notifiche di tentativi di logon falliti (avevo > configurato un task di notifica di avviso al verificarsi di un evento ID > 4776 e di lock account) , andando a vedere i log vedo che la Source > Workstation cambia continuamente con nomi casuali vanificando così ogni > tentativo di identificare la macchina sorgente. > > Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla > rete interna ma secondo voi come è possibile identificare il vero > indirizzo IP dell'attacker? > > So che ci sono anche gli EDR che permettono di identificarli ma mi > servirà installare un agent su tutte le macchine, anche quelle remote, e > mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi > subito questo attacco. > > grazie! > Andrea > > > >
