Grazie a tutti per i vostri consigli, installando WireShark con un paio
di filtri riesco ora ad identificare il reale indirizzo IP anche se
finora l'attacker è rimasto fermo, nel senso che da Giovedì scorso non
ho più tentativi di bruteforce.
Sarò pronto spero per il prossimo attacco, nel frattempo ti chiedo se
questo AlienVault OSSIM è anche un IPS, perchè vorrei che bloccasse in
automatico questi attacchi in attesa che io intervenga per identificarli
e rimuoverli.
grazie!
Il 20/11/2021 23:50, Enrico Pasqualotto ha scritto:
Ciao, io ti consiglio AlienVault OSSIM che lo puoi scaricare e usare
subito. Ha una componente IDS che ti permette di monitorare il
traffico nella rete e degli agent (OSSEC) che puoi installare sui DC.
Io in casi simili uso questa soluzione portando la VM direttamente dal
cliente e aggiungendo come ruleset ET pro.
Enrico Pasqualotto.
Il giorno sab 20 nov 2021 alle ore 17:10 Andrea <an.ce...@tiscali.it>
ha scritto:
Ciao a tutti,
chiedo a chi è più esperto un consiglio per un problema che ho
riscontrato da qualche giorno, ho un server DC windows 2012R2 dal
quale
mi arrivano random notifiche di tentativi di logon falliti (avevo
configurato un task di notifica di avviso al verificarsi di un
evento ID
4776 e di lock account) , andando a vedere i log vedo che la Source
Workstation cambia continuamente con nomi casuali vanificando così
ogni
tentativo di identificare la macchina sorgente.
Nessun server è esposto su Internet quindi l'attacco è sicuramente
dalla
rete interna ma secondo voi come è possibile identificare il vero
indirizzo IP dell'attacker?
So che ci sono anche gli EDR che permettono di identificarli ma mi
servirà installare un agent su tutte le macchine, anche quelle
remote, e
mi ci vorrà tempo. Quindi al momento mi serve qualcosa che
identifichi
subito questo attacco.
grazie!
Andrea
