Я получаю тысячи хакерских атак на сервер Windows, в результате чего в журнале безопасности появляется 4625 записей. Хакеры используют случайные IP-адреса, поэтому обычные инструменты RDPguard, Syspeace и т. Д. Не работают. Порт 3389 на сервере закрыт, поэтому я удивлен продолжающимся атакам.
Я хотел бы выяснить, к каким локальным портам подключаются злоумышленники в своих попытках, но все найденные мной автоматизированные инструменты смотрят только на IP. И журналы сервера Windows по умолчанию также показывают только IP и удаленный порт, но не локальный порт.
Я знаю, что могу вручную просматривать журналы Wireshark, но это трудоемко. Я хотел бы найти инструмент, который отслеживает неудачные попытки входа в систему и просто подтверждает их с помощью локального порта, чтобы я знал, какие порты нужно закрыть. В идеале это не генерирует гигантские журналы и не требует постоянного мониторинга; инструмент предпочтительно запускался бы при неправильном входе в систему и собирал информацию о порте и сервисе. Любые идеи?
Я думаю, ваш лучший инструмент - это сами окна. Поскольку у вас уже включен брандмауэр Windows, вы можете использовать его ведение журнала для просмотра и отслеживания желаемого трафика.
Журнал событий: подробности находятся внизу этого Technet https://technet.microsoft.com/en-us/library/dd421717(v=ws.10).aspx
Журнал брандмауэра Windows: Или вы можете включить ведение журнала в брандмауэре Windows и сохранить его в файл. https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/
Или раздел мониторинга под брандмауэром Windows с повышенной безопасностью.