SIEM:エンドユーザーとDHCP IP割り当ての問題の監視
SIEMソリューションとしてAlien Vaultを選択したエンドユーザーのアクティビティを監視したい。ログの受信を確認し、ホスト名XYZの特定のIP(例10.10.10.4)で悪意のあるアクティビティを確認すると、調査を開始し、このIPにホスト名BFUが表示されていることがわかります。 DHCPによって10.10.10.4が新しいユーザーに割り当てられているためです。
解決策として私が見ているのは、エンドユーザーログをDHCPログと関連付けて、特定の期間の悪意のある攻撃を監視/調査する必要があるということです。
ここで誰かが私を助けてくれますか?他に解決策がある場合は、それについて知りたいです。
一部のSIEMツールでは、アラートが作成されるとすぐにスクリプトを実行できるため、アラートが発生したときにリアルタイムでnslookupを実行し、ホスト名をSIEMに保存できます。
一部のSIEMツールには、この情報を追跡するための資産管理機能もあります。
それ以外の場合は、イベントの前後1時間程度の間、そのソースIPでフィルタリングすることによってSIEMを手動で検索し、その時間の前後に、ソースワークステーションフィールドを持つWindows認証などのホスト名を示している可能性のある他のイベントを探すことができます。指定したホスト名フィールドまたはdhcpリースログを持つウイルス対策ログ。
または、アナリストがリアルタイムでアラートを処理している場合は、アラートが発生するとすぐにIPをnslookupします。
セキュリティイベントとインシデントのユーザーアクティビティを監視する場合、IPアドレスとDHCPはまったく関係ありません。
代わりにウェブブラウザのアクティビティを監視してみてください- https://holdmybeersecurity.com/2019/10/11/poc-monitoring-user-browser-activity-with-osquery/