Quiero monitorear la actividad de mis usuarios finales para la cual seleccioné Alien Vault como mi solución SIEM. Ahora, cuando veo que entran registros y veo actividad maliciosa en una determinada IP (por ejemplo, 10.10.10.4) con el nombre de host XYZ, comienzo a investigar y veo que esta IP ahora muestra el nombre de host BFU. Debido a que 10.10.10.4 ha sido asignado a un nuevo usuario por DHCP.
Lo que veo como una solución es que debo correlacionar los registros del usuario final con los registros de DHCP para monitorear / investigar el ataque malicioso en un período determinado.
¿Puede alguien ayudarme aquí, cómo hacerlo? Si hay alguna otra solución, me encantaría saberlo.