Nel mio strumento SIEM, ho ricevuto più avvisi per la comunicazione con siti di malware dal firewall di Palo Alto.
Ho visto molte comunicazioni in uscita da IP interni verso IP: 74.217.31.51 con nome host: match.basebanner.com che sta avendo molti domini nella lista nera a cui l'host interno sta comunicando.
Ora ho bisogno di scoprire perché queste macchine comunicano con questi IP. Come rintracciarli e quale rimedio adeguato dovrei raccomandare al mio cliente per gestirli?
Informa il cliente che è necessario eseguire scansioni antivirus sugli IP di origine e ispezionare i browser di tali macchine. Possono anche eseguire netstat sui computer Windows:
netstat -a -o -p TCP
Questo mostrerà loro il processo che ha avviato ogni connessione TCP.
Una volta che sanno cosa sta attivando le connessioni, possono pianificare come affrontare il problema.
Se comprendo correttamente la tua infrastruttura, sul client, utilizza:
$ lsof | grep <blacklisted-IP>
Questo comando elencherà tutti i file aperti. Nel tuo caso, apri i socket TCP. Il grep scoprirà se è all'altra estremità del socket. Questo funziona su Linux.