Ciao, io ti consiglio AlienVault OSSIM che lo puoi scaricare e usare subito. Ha una componente IDS che ti permette di monitorare il traffico nella rete e degli agent (OSSEC) che puoi installare sui DC. Io in casi simili uso questa soluzione portando la VM direttamente dal cliente e aggiungendo come ruleset ET pro.
Enrico Pasqualotto. Il giorno sab 20 nov 2021 alle ore 17:10 Andrea <[email protected]> ha scritto: > Ciao a tutti, > chiedo a chi è più esperto un consiglio per un problema che ho > riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale > mi arrivano random notifiche di tentativi di logon falliti (avevo > configurato un task di notifica di avviso al verificarsi di un evento ID > 4776 e di lock account) , andando a vedere i log vedo che la Source > Workstation cambia continuamente con nomi casuali vanificando così ogni > tentativo di identificare la macchina sorgente. > > Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla > rete interna ma secondo voi come è possibile identificare il vero > indirizzo IP dell'attacker? > > So che ci sono anche gli EDR che permettono di identificarli ma mi > servirà installare un agent su tutte le macchine, anche quelle remote, e > mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi > subito questo attacco. > > grazie! > Andrea > > > >
