Comment puis-je identifier quel PC a fait une requête DNS suspecte?
Nos identifiants ont détecté un paquet DNS suspect allant à un botnet (ou similaire).
Depuis que cela DC est un relais récursif, comment pouvons-nous identifier le client qui a apporté cette demande. (Server Windows DNS)
Demande DNS La journalisation sur votre transitaire DNS local (contrôleurs de domaine) est le plus facile. Blocage du port TCP/UDP 53 sortant sauf que vos contrôleurs de domaine vous permettent d'être assuré que seuls ils peuvent faire des recherches DNS récursives.
NetFlow est une autre option, mais possède des exigences de stockage de données importantes car vous stockez des informations de cycle de vie et de terminaison sur tous les UDP et TCP sessions de votre réseau.
Pour efficacement NSM (surveillance de la sécurité du réseau), vous devez disposer à la fois de la journalisation DNS et du NetFlow activé et il convient de se mettre à la fois en place comme l'exploitation forestière qui ne serait pas une question de pratique habitée ne sera pas pris en compte en tant que dossier dans les procédures judiciaires. Vous ne pouvez pas simplement les transformer, rassembler des trucs, l'utiliser comme des preuves et les éteindre à nouveau.