Проблема:
Неизвестный частный (NAT) клиент заражен вредоносным ПО и пытается получить доступ к серверу ботов в случайное время / дату.
Откуда мы об этом знаем:
Мы получаем уведомления / предупреждения о трафике ботов от REN-ISAC. К сожалению, мы не получаем их до следующего дня после того, как это произошло. Они предоставляют нам:
Вопрос:
Каким будет лучший подход к поиску этого внутреннего хоста (исторически) с Cisco ASA как брандмауэр?
я угадывать блокирование чего-либо на адрес (а) назначения и регистрация этого типа трафика / доступа может позволить мне найти исходный хост, но я не уверен, какой инструмент / команда будет наиболее полезной.
Я видел, как Netflow дал несколько ответов, когда дело доходит до ведения журнала, но меня смущает его ассоциация Регистрация, NAL и nBARи как они связаны с Netflow.
Что касается вопросов от @jowqwerty, я предполагаю, что вы несете ответственность за Cisco ASA и внутреннюю сеть за ним, верно?
Если да, то вы на правильном пути. Я бы рекомендовал использовать функции регистрации и / или захвата ASA, чтобы сузить трафик.
Чем больше вы сможете сузить цель, тем лучше. Вы упомянули, что у вас есть подсеть назначения, есть ли у вас также протокол / порты назначения? Я бы создал ACL, который соответствует назначению и регистрирует попадания.
Например:
ip access-list extended find_infected
permit <tcp/udp> any <destination subnet> <destination mask> eq <destination port> log
Затем примените такой ACL к внутреннему интерфейсу ASA. Затем сверьте будущие отчеты о злоупотреблениях с записями в журнале.
Функция захвата основана на этом методе устранения неполадок, позволяя захватывать трафик в формате PCAP. Затем вы можете дополнительно проанализировать его с помощью таких инструментов, как WireShark.