我想监控我选择 Alien Vault 作为我的 SIEM 解决方案的最终用户活动。现在,当我看到日志进入并在某个 IP(例如 10.10.10.4)上看到主机名为 XYZ 的恶意活动时,我开始调查,我看到这个 IP 现在显示主机名 BFU。因为 10.10.10.4 已被 DHCP 分配给新用户。
我认为的解决方案是,我应该将最终用户日志与 DHCP 日志关联起来,以监控/调查特定时期的恶意攻击。
有人可以在这里帮助我,该怎么做?如果还有其他解决方案,我很想知道。
SIEM:监控最终用户和 DHCP IP 分配问题
信息安全
监控
暹粒
dhcp
2021-08-28 14:00:42
2个回答
一些 SIEM 工具使您能够在创建警报后立即运行脚本,因此您可以在警报触发时实时执行 nslookup 并将主机名存储在 SIEM 中。
一些 SIEM 工具还具有资产管理功能,可尝试为您跟踪此信息。
否则,您可以通过在事件前后一小时左右过滤该源 ip 在 SIEM 中手动搜索,并在该时间附近查找可能指示主机名的其他事件,例如具有源工作站字段的 Windows 身份验证,或具有主机名字段的防病毒日志或 dhcp 租用日志,如您所指示的。
或者,如果您的分析师正在实时处理警报,则在警报出现时立即 nslookup ip。
在监控用户活动以查找安全事件和事件时,IP 地址和 DHCP 根本不重要。
尝试监控他们的网络浏览器活动——https: //holdmybeersecurity.com/2019/10/11/poc-monitoring-user-browser-activity-with-osquery/