2
« kdy: 27. 08. 2019, 08:10:14 »
Zdravím vás.
Před časem jsem dostal od jednoho ze správcú naší korporátní sítě informaci, že se múj stroj pokoušel připojit na blacklistovanou ipadresu cituji: "vyhodnocenou jako Tor síť". Pokus o připojení jim zachytil firewall a jednalo se o adresu 91.203.146.126.
Chtěl jsem tedy zjistit co se na danou ip pokoušelo připojit. Je to ale problém, který jsem zatím neřešil a nejsem si tedy jistý zda jsou moje postupy a použité nástroje adekvátní.
Protože byl pokus o připojení zaznamenán pár dní po sobě, rozhodl jsem se pro jistotu ip zablokovat i na svém stroji. Použil jsem tedy nástroj wf.msc a vytvořil Outbound rule. Nyní jsem chtěl ve Win sprovoznit monitorování procesú a připojení. Nainstaloval jsem nástroj Sysmon a SysmonView pro následné prohlížení vyexportovaných eventú ze Sysmonu.
V této chvíli si však nejsem jistý jestli postupuji správně. Prošel jsem samozřejmě několik dostupných zdrojú avšak nakonec jsem zhodnotil, že nic nedám za to pokusit se o prosbu o radu i zde.
Když je ve firewallu zablokován přístup na ip, zaloguje Sysmon alespoň pokus o připojení? Z dokumentace jsem to bohužel nevyčetl. A pokud ne, je ten přístup někde zalogovaný alespoň někde ze strany Win?
SysmonView je jeden z nástrojú, které jsem objevil a zdál se mi nejrychlejší pro použití (spusit, importovat logy, prohlížet). Nevidím v něm ale žádnou možnost pro vyhledání dle ip adresy a také v grafické zobrazení připojení se zdá nefunkční. Mám v záloze asi dva další nástroje avšak jejich rozchození je časově trochu náročnejší. Máte tip na obdobný nástroj, resp. něco co používáte vy?
Také se mi nepodařilo najít opověď na to, jestli je vúbec nutné instalovat nějaké monitorovací nástroje. Poskytuje Win adekvátní funkcionalitu? Je možné ty pokusy o připojení zpětně dohledat i bez nich?
Předně me zajímá jestli jste podobný problém řešili jak (jestli vúbec) jste jej vyřešili.
Děkuji.
Zobrazit příspěvky
