ハードコーディングされたIPアドレスへの接続のロギング

Windowsのネイティブ機能を使用する場合、最適な方法は 監査フィルタリングプラットフォーム接続 を有効にすることです。 Windowsファイアウォールで許可されているすべての接続をログに記録できます。以下は抜粋です。

監査フィルタリングプラットフォーム接続は、接続が Windowsフィルタリングプラットフォーム によって許可またはブロックされたときに、オペレーティングシステムが監査イベントを生成するかどうかを決定します。

Windows Filtering Platform（WFP）により、独立系ソフトウェアベンダー（ISV）は、TCP/IPパケットのフィルタリングと変更、接続の監視または承認、インターネットプロトコルセキュリティ（IPsec）で保護されたトラフィックのフィルタリング、およびリモートプロシージャコール（RPC）のフィルタリングを行うことができます。

このサブカテゴリには、ブロックされた接続と許可された接続、ブロックされたポートと許可されたポートのバインド、ブロックされたポートと許可されたポートのリスニングアクション、および着信接続アプリケーションを受け入れるためのブロックに関するWindows Filtering Platformイベントが含まれます。

この監査を有効にすることの欠点は、監査ボリュームが[〜＃〜] high [〜＃〜]になることです。それを十分に強調することはできません。

ここから、DNSクエリログとWindows Filtering Platform（WFP）イベントを集約して、DNSルックアップを実行せずにアクセスされたIPアドレスを特定するためのカスタムスクリプトまたはその他の手段が必要になります。

例えば、

1. ホストのすべての一意の宛先IPアドレスのリストを作成します。
2. そのホストへのDNS応答で＃1からのIPアドレスを検索します。

あなたが達成しようとしていることは難しいです。一部のアプリケーションは、ハードコードされたIPアドレスまたは他の手段を使用して宛先を解決する場合があります（NetBIOS、WINS、LLMNR、Bonjourなど）。環境によっては、調査中に多くの誤検知を見つけても驚かないでください。

別の方法として、ターゲットシステムの前にネットワーク監視デバイスを配置します。 Zeek （以前のBro）、 Argus 、 SiLK 、または [〜＃〜] rita [〜＃〜]などの製品 は、他の興味深いデータに加えて、すべてネットワーク接続をログに記録し、費用はかかりません。場合によっては、DNSクエリも記録します。この代替アプローチでは、従来のDNSを使用せずに確立されたものを見つけるために、ネットワーク接続でDNSクエリログを集約するカスタムスクリプトが依然として必要です。