Registrazione scarsa comunicazione in uscita

1

Ho la seguente situazione. Ho il compito di assicurarmi che le workstation dei nostri clienti siano perfettamente pulite da un punto di vista Malware. Siamo stati benedetti con Websense come uno strumento dannoso per identificare il traffico in uscita.

Diciamo che per un determinato host vedo del traffico sospetto e voglio identificare qual è il processo che lo sta causando (le workstation sono Win 7 a 32 bit).

Anche netstat aiuta solo se il processo è sempre in esecuzione. Per il traffico limitato il processo incriminato non è sempre evidente.

Il dolore deriva da quanto segue: abbiamo solo un account pseudo-amministratore con il quale abbiamo solo l'accesso alla riga di comando remoto. Nessun powershell, nessuna possibilità di eseguire programmi con GUI (cioè Process Explorer) e ci viene richiesto di interrompere gli utenti durante il loro lavoro.

Per questo motivo sto cercando di padroneggiare l'arte nascosta della traccia netsh. Ma per periodi di tempo più lunghi, anche se aggiungo filtri per tipo ethernet, protocollo e ip, i log diventano enormi con le voci per il kernel di Windows, e ci vuole sempre un tempo per scaricarli dall'host per l'analisi.

Fino ad ora non ho trovato alcun modo per eliminarli. Ho pensato che ci doveva essere un modo con scenari e / o fornitori, ma non ho potuto trovare una descrizione per quelli ovunque.

Inoltre non ho trovato un modo per farlo usando uno strumento SysInternals solo dalla CLI.

Qualche suggerimento per strumenti o metodi per eseguire l'attività?

    
posta user137684 29.01.2017 - 10:31
fonte

1 risposta

1

Dalla tua descrizione, sembra che tutto ciò che ti serve sia il timestamp, il nome del processo e la porta di origine (dato che identifichi il traffico dannoso esternamente e hai accesso al timestamp e alle porte utilizzate). Questo può semplificare enormemente le cose.

Eseguire netstat con un grep ogni secondo e acquisire i processi e le porte di origine in un log (il log di esportazione nel server di registrazione centrale). I contenuti del registro sono più piccoli in questo modo, anche se si rischia di perdere un processo a breve termine se si attiva tra i tempi di acquisizione. Un po 'hacky, ma efficace, e l'ho fatto.

Puoi anche provare ad accedere agli aggregatori o ai programmi di protezione degli endpoint che accedono alle workstation per il polling di queste informazioni. Tuttavia, le prestazioni, i costi e la complessità dipenderanno dal numero di workstation in gioco.

    
risposta data 29.01.2017 - 11:40
fonte

Leggi altre domande sui tag