Доброе утро,
Я получил уведомление от FirePower о том, что существует исходящее соединение варианта MALWARE-CNC Win.Trojan.Gh0st с нашим сервером обмена. Я предполагаю, что одному из наших сотрудников было отправлено электронное письмо с вредоносным вложением. Я бы хотел отследить, кому это было отправлено. Вы знаете, возможно ли это. У меня есть исходный IP, но единственное, что сообщает мне уведомление FirePower, это то, что оно было направлено нашему балансировщику нагрузки для обмена. Точно не сообщает мне, в какой почтовый ящик он был отправлен. Можно ли найти эту информацию?
Спасибо, Райан
После дальнейшего расследования выяснилось, что это было создано https: //malware-hunter.shodan. io / на нашем сайте Outlook Web Access.