Nuestro IDS detectó un paquete DNS sospechoso que iba a una Botnet (o similar).
Dado que el DC es un relé recursivo, ¿cómo podemos identificar al cliente que hizo esa solicitud? (Servidor DNS de Windows)
Nuestro IDS detectó un paquete DNS sospechoso que iba a una Botnet (o similar).
Dado que el DC es un relé recursivo, ¿cómo podemos identificar al cliente que hizo esa solicitud? (Servidor DNS de Windows)
El registro de solicitudes de DNS en su reenviador de DNS local (controladores de dominio) es el más fácil. El bloqueo del puerto 53 TCP / UDP saliente, excepto los controladores de dominio, le permite estar seguro de que solo ellos pueden realizar búsquedas de DNS recursivas.
Netflow es otra opción, pero tiene grandes requisitos de almacenamiento de datos ya que está almacenando información sobre el ciclo de vida y el punto final de todas las sesiones UDP y TCP en su red.
Para un NSM (Monitoreo de seguridad de red) efectivo, debe tener habilitados el registro de DNS y Netflow, y vale la pena ponerlos en marcha por adelantado, ya que el registro que no es una práctica estándar será ignorado como rumor en los procedimientos judiciales. No puedes simplemente encenderlos, recopilar cosas, usarlas como evidencia y volver a desactivarlas.
Lea otras preguntas en las etiquetas windows dns incident-response logging ids