Il mio obiettivo è stringere il firewall sul mio PC di dominio AD con Windows 10. Anche se il firewall di Windows è già attivo, non sono sicuro che stia bloccando il traffico in uscita dal malware
Che cos'è un modo efficace per determinare quale traffico in uscita sono malware e quali sono stati avviati da app legittime (come e-mail e altre app aziendali)?
I miei pensieri iniziali sono:
-
Poiché un'applicazione legittima può effettuare chiamate in uscita su più IP (ad esempio i servizi di telemetria MS), dovrò tenere traccia di tutti gli IP legittimi (chiamiamola la mia whitelist IP)
-
Qualsiasi traffico in uscita verso IP che non è nella mia lista bianca - verrà bloccato dalla regola del mio firewall
Ma questo sarà un compito costoso, poiché dovrò monitorare e confermare ogni singola connessione IP in uscita: (
So che ci deve essere un modo più efficace per raggiungere il mio obiettivo - ma non sono sicuro da dove cominciare