Voglio monitorare le attività degli utenti finali per cui ho selezionato Alien Vault come soluzione SIEM. Ora, quando vedo i log che arrivano e vedo attività dannose a un certo IP (ad esempio 10.10.10.4) con il nome host XYZ, inizio a indagare e vedo che questo IP sta ora mostrando il nome host BFU. Perché 10.10.10.4 è stato assegnato a un nuovo utente tramite DHCP.
Quello che vedo come soluzione è che dovrei correlare i registri degli utenti finali con i registri DHCP per monitorare / investigare l'attacco dannoso in un determinato periodo.
Qualcuno può aiutarmi qui, come farlo? Se c'è qualche altra soluzione mi piacerebbe saperlo.