Cómo identificar a qué computadora se le asignó una dirección IP interna específica a través de DHCP cuando ese dispositivo ya no está conectado a la red de la oficina

Su servidor DHCP (que puede ser su enrutador) puede mantener un registro de sus transacciones DHCP. Si es así, eso debería darle la dirección MAC.

Si no se purga mediante la rotación de registros, el servidor DHCP tendrá la dirección MAC y, si se utilizan conmutadores, puede consultar su tabla CAM para averiguar a qué puerto estaba conectada la computadora. Entonces solo es cuestión de rastrear el cable para encontrar la ubicación

Presumiblemente, si tiene alertas de malware, también tiene registros. Miras en los registros del servidor DHCP y ves a qué dirección mac se asignó la IP. (¿tiene registros, verdad?) Si es inteligente, su servidor DHCP también registró la identificación del cliente que presentó el dispositivo.

Si no puede rastrearlo, asigne una IP estática no enrutable a esa dirección mac en la configuración de DHCP, asegúrese de que el servidor DHCP registre las ID de los clientes y monitoree los registros, luego, cuando se asigne la IP, puede ir a buscar ese cliente y lidiar con el malware y el usuario. También pueden acudir a usted porque su sistema ya no funciona debido a la IP no enrutable.

Primero, si recibe la alerta e inmediatamente hace ping a esa computadora pero no responde, tiene un problema de configuración de red.

Todas las computadoras locales deben responder al ping dentro de su red. Asegúrese de que, si la computadora ejecuta Windows, la red esté configurada como privada.

Ahora al problema de identificación. El método más simple que se me ocurre es buscar en los registros de DHCP esa IP en particular. Debería darte información.

Si no te ayuda, tengo otra solución que alguna vez usé para identificar un servidor DHCP falso. Escanee la IP con zenmap (o nmap si está en Linux).

Usando zenmap encontré el fabricante de la tarjeta de red y otra información que al final me ayudó a identificar el servidor DHCP falso.

Comprueba tus servidores DNS. Si la computadora específica se registró en su DNS, es probable que la entrada sea más larga que su período de arrendamiento de dchp. Un ping -a xxxx devolverá el nombre de la computadora (xxxx es la dirección IP)

Busque en los registros del servidor DHCP. Deben tener el nombre de host y la dirección MAC del dispositivo al que se le asignó 192.168.12.123. También puede permitirle determinar si estaba conectado a través de ethernet o wi-fi.
Si se conectó a través de Ethernet, es posible que pueda localizar el punto de entrada recorriendo la red y ejecutando ‘arp’ en las computadoras para ver si tienen el MAC correspondiente en sus tablas. Eso debería permitirle limitar las cosas a todos los puertos conectados a un conmutador ethernet específico.
Si se conectó a través de wifi, probablemente no tenga suerte. Incluso si encuentra la entrada coincidente en los registros, el nombre de host puede ser aleatorio, el MAC puede ser falso y también aleatorio, y la computadora infractora puede haberse conectado a su red utilizando una antena wi-fi direccional en cualquier lugar dentro de un radio de un cuarto de milla de su sitio

Si el arrendamiento aún está activo, verifique la tabla de arrendamiento. De lo contrario, verifique los registros de su servidor DHCP.