Rivelatori di chiamata: connessione ad alta riservatezza IP server C & C rilevato

1

Stiamo procedendo alla messa a punto di McAfee ESM. Di seguito è riportato il registro -

IP sorgente = 173.224.123.242 Destinazione IP = IP interno (sempre uguale)

Porta sorgente = 443 Porta di destinazione = 3740 (2502, 2442, 1208, 1118, 3526, 1175, 4499,4466)

avviso 2

Utente sorgente = NA, Utente di destinazione = NA

Primo evento - 13/05/2016 19:50:09 Ultimo evento - 13/05/2016 19:50:09 Numero eventi - 2

Messaggio - Rivelatori di chiamata: connessione ad alta confidenza IP del server C & C rilevato Applicazione - Gravità media = 90 ID firma = 305-284

Gentilmente aiutami a capire perché sto ricevendo questi e quale azione devo intraprendere?

    
posta pkd 17.05.2016 - 09:19
fonte

1 risposta

1

Il sensore IPS sembra credere che 173.224.123.242 sia un server C & C (queste informazioni sono prese da McAfee stesso, che analizza il server per determinare se è dannoso o meno).

Un C & C sarebbe un server che è stato compromesso e gestisce una botnet, ad esempio. Questo non è un buon segno.

Se questa firma viene visualizzata sempre per lo stesso host interno, disconnetterla immediatamente dalla rete e determinare se è stata compromessa o meno (eseguire un AV aggiornato, controllare i processi attivi, ecc.). Se l'IP esterno appartiene alla tua azienda, questo potrebbe indicare un falso positivo. Quindi, assicurati che il server sia davvero OK e crea un filtro per ignorare questo avviso in futuro.

Spero che aiuti! :)

    
risposta data 17.05.2016 - 14:43
fonte

Leggi altre domande sui tag