Ciao,
da quanto ricordo OSSIM è solo in IDS.
Dovresti provare a installare gli agent e vedere se ha funzioni di HIPS.
Buon lavoro
Massimo Venuto
---------------------------------------------------------------
[image: e^{i \pi} +1 = 0 \,.]
Il giorno lun 22 nov 2021 alle ore 14:30 Andrea <[email protected]> ha
scritto:
> Grazie a tutti per i vostri consigli, installando WireShark con un paio
> di filtri riesco ora ad identificare il reale indirizzo IP anche se finora
> l'attacker è rimasto fermo, nel senso che da Giovedì scorso non ho più
> tentativi di bruteforce.
>
> Sarò pronto spero per il prossimo attacco, nel frattempo ti chiedo se
> questo AlienVault OSSIM è anche un IPS, perchè vorrei che bloccasse in
> automatico questi attacchi in attesa che io intervenga per identificarli e
> rimuoverli.
>
> grazie!
>
>
> Il 20/11/2021 23:50, Enrico Pasqualotto ha scritto:
>
> Ciao, io ti consiglio AlienVault OSSIM che lo puoi scaricare e usare
> subito. Ha una componente IDS che ti permette di monitorare il traffico
> nella rete e degli agent (OSSEC) che puoi installare sui DC.
> Io in casi simili uso questa soluzione portando la VM direttamente dal
> cliente e aggiungendo come ruleset ET pro.
>
> Enrico Pasqualotto.
>
> Il giorno sab 20 nov 2021 alle ore 17:10 Andrea <[email protected]> ha
> scritto:
>
>> Ciao a tutti,
>> chiedo a chi è più esperto un consiglio per un problema che ho
>> riscontrato da qualche giorno, ho un server DC windows 2012R2 dal quale
>> mi arrivano random notifiche di tentativi di logon falliti (avevo
>> configurato un task di notifica di avviso al verificarsi di un evento ID
>> 4776 e di lock account) , andando a vedere i log vedo che la Source
>> Workstation cambia continuamente con nomi casuali vanificando così ogni
>> tentativo di identificare la macchina sorgente.
>>
>> Nessun server è esposto su Internet quindi l'attacco è sicuramente dalla
>> rete interna ma secondo voi come è possibile identificare il vero
>> indirizzo IP dell'attacker?
>>
>> So che ci sono anche gli EDR che permettono di identificarli ma mi
>> servirà installare un agent su tutte le macchine, anche quelle remote, e
>> mi ci vorrà tempo. Quindi al momento mi serve qualcosa che identifichi
>> subito questo attacco.
>>
>> grazie!
>> Andrea
>>
>>
>>
>>
>
