SIEM: Monitoreo de usuarios finales y problema de asignación de IP de DHCP

4

Quiero monitorear la actividad de mis usuarios finales para la cual seleccioné Alien Vault como mi solución SIEM. Ahora, cuando veo que entran registros y veo actividad maliciosa en una determinada IP (por ejemplo, 10.10.10.4) con el nombre de host XYZ, comienzo a investigar y veo que esta IP ahora muestra el nombre de host BFU. Debido a que 10.10.10.4 ha sido asignado a un nuevo usuario por DHCP.

Lo que veo como una solución es que debo correlacionar los registros del usuario final con los registros de DHCP para monitorear / investigar el ataque malicioso en un período determinado.

¿Puede alguien ayudarme aquí, cómo hacerlo? Si hay alguna otra solución, me encantaría saberlo.

    
pregunta Bilal Farooq Ahmad 20.01.2017 - 12:24
fuente

0 respuestas

Lea otras preguntas en las etiquetas