Il nostro IDS ha rilevato un pacchetto DNS sospetto diretto a una Botnet (o simile).
Poiché quella DC è un relay ricorsivo, come possiamo identificare il cliente che ha fatto quella richiesta. (Server DNS Windows)
Il nostro IDS ha rilevato un pacchetto DNS sospetto diretto a una Botnet (o simile).
Poiché quella DC è un relay ricorsivo, come possiamo identificare il cliente che ha fatto quella richiesta. (Server DNS Windows)
La registrazione delle richieste DNS sul server di inoltro DNS locale (Domain Controller) è la più semplice. Il blocco della porta TCP / UDP 53 in uscita tranne che per i controller di dominio consente di essere certi che solo loro possono eseguire ricerche DNS ricorsive.
Netflow è un'altra opzione, ma ha grandi requisiti di archiviazione dei dati poiché si memorizzano le informazioni sul ciclo di vita e sull'endpoint di tutte le sessioni UDP e TCP nella propria rete.
Per un efficace NSM (Network Security Monitoring) dovresti avere sia la registrazione DNS che Netflow abilitati e vale la pena di essere entrambi ben avviati poiché la registrazione che non è una questione di standard sarà ignorata come diceria nei procedimenti giudiziari. Non puoi semplicemente accenderli, raccogliere materiale, usarli come prova e disattivarli di nuovo.
Leggi altre domande sui tag windows logging dns incident-response ids