非常に多くのホストがブラックリストに登録されているIPと通信している理由を見つける方法
私のSIEMツールでは、パロアルトファイアウォールからマルウェアサイトとの通信に関する複数のアラートを受け取りました。
内部IPからIPへの多くの発信通信を見てきました:74.217.31.51ホスト名:match.basebanner.com内部ホストが通信している多くのブラックリストドメインがあります。
参照:
https://www.virustotal.com/en/domain/match.basebanner.com/information/
https://www.virustotal.com/en/ip-address/74.217.31.51/information/
次に、これらのマシンがこれらのIPと通信している理由を調べる必要があります。それらを追跡する方法、およびそれらを処理するためにクライアントに推奨する適切な修正方法
ソースIPでウイルススキャンを実行し、それらのマシンのブラウザーを検査する必要があることをクライアントに伝えます。また、Windowsマシンで netstat を実行することもできます。
netstat -a -o -p TCP
これにより、各TCP接続を開始したプロセスが表示されます。
何が接続を引き起こしているのかがわかったら、問題に対処する方法を計画できます。
お客様のインフラストラクチャを正しく理解している場合は、クライアントで次を使用します。
$ lsof | grep <blacklisted-IP>
このコマンドは、開いているすべてのファイルを一覧表示します。あなたの場合、TCPソケットを開いてください。ソケットの反対側にある場合、grepはそれを明らかにします。これはLinuxで動作します。