Vai nel visualizzatore eventi e guarda se Application and Services Log -> Microsoft -> Windows -> NTLM -> Operational è popolato. Se non lo è, abilita l'event id 8004 e... attendi fiducioso che qualcosa appaia.
Per abilitare 8004 devi aggiungere una gpo per i controller di dominio, gugl per i dettagli. In bocca al lupo Fabio On Sat, Nov 20, 2021 at 5:15 PM Andrea <[email protected]> wrote: > > Ciao a tutti, > chiedo a chi è più esperto un consiglio per un problema che ho > riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale > mi arrivano random notifiche di tentativi di logon falliti (avevo > configurato un task di notifica di avviso al verificarsi di un evento ID > 4776 e di lock account) , andando a vedere i log vedo che la Source > Workstation cambia continuamente con nomi casuali vanificando così ogni > tentativo di identificare la macchina sorgente. > > Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla > rete interna ma secondo voi come è possibile identificare il vero > indirizzo IP dell'attacker? > > So che ci sono anche gli EDR che permettono di identificarli ma mi > servirà installare un agent su tutte le macchine, anche quelle remote, e > mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi > subito questo attacco. > > grazie! > Andrea > > >
