Não está claro se um de seus computadores está sendo atacado por terceiros (remotamente), um administrador está avisando que um dos computadores está sendo atacado por um computador que você gerencia ou se um administrador está aconselhando você dos seus próprios computadores está sob ataque.
Você também não indica se o dispositivo representado pelo endereço IP é o invasor ou o invasor (o dispositivo está tentando fazer o login). Do exemplo que você dá, o log SNMP parece indicar que é o atacante.
Por último, você não indica se as tentativas de login são de um dispositivo que deve conseguir fazer login ou não.
Então, vou tentar cobrir todas as bases:
-
Se as tentativas de login forem indesejadas: Minimamente, você deve bloquear o acesso. Isso geralmente é feito com uma lista de controle de acesso (em um roteador) ou uma regra de firewall. Idealmente, você bloquearia em um nível físico desativando o acesso à porta porque está enviando tráfego indesejado pela sua rede. Talvez não seja um grande negócio em uma LAN. Muito mais perturbador em um MAN ou WAN.
-
Se as tentativas de login forem desejáveis: Você deve configurar os dispositivos para que tenham as credenciais SNMP corretas para o login. O dispositivo que está sendo acessado também precisa permitir o login do SNMP remoto.
-
Se as tentativas de login forem muito numerosas: Você deve procurar no dispositivo por um processo / aplicativo desonesto ou mal configurado que esteja tentando digitalizar (via SNMP) com muita freqüência dentro de um determinado período de tempo. É possível que um login correto reduza a quantidade de varreduras. Aplicativos mal configurados, aplicativos de gerenciamento de rede específicos, muitas vezes, digitalizam repetidamente até obter uma resposta esperada.