Come identificare quale PC ha effettuato una query DNS sospetta?

6

Il nostro IDS ha rilevato un pacchetto DNS sospetto diretto a una Botnet (o simile).

Poiché quella DC è un relay ricorsivo, come possiamo identificare il cliente che ha fatto quella richiesta. (Server DNS Windows)

    
posta random65537 13.11.2015 - 15:43
fonte

1 risposta

1

La registrazione delle richieste DNS sul server di inoltro DNS locale (Domain Controller) è la più semplice. Il blocco della porta TCP / UDP 53 in uscita tranne che per i controller di dominio consente di essere certi che solo loro possono eseguire ricerche DNS ricorsive.

Netflow è un'altra opzione, ma ha grandi requisiti di archiviazione dei dati poiché si memorizzano le informazioni sul ciclo di vita e sull'endpoint di tutte le sessioni UDP e TCP nella propria rete.

Per un efficace NSM (Network Security Monitoring) dovresti avere sia la registrazione DNS che Netflow abilitati e vale la pena di essere entrambi ben avviati poiché la registrazione che non è una questione di standard sarà ignorata come diceria nei procedimenti giudiziari. Non puoi semplicemente accenderli, raccogliere materiale, usarli come prova e disattivarli di nuovo.

    
risposta data 15.11.2015 - 19:39
fonte

Leggi altre domande sui tag