Fallstudien zur Cisco Duo-Integration
Das Sophos MDR-Team hat die folgenden Fälle für Cisco Duo-Warnmeldungen eskaliert.
Fall 1
Der Fall
Am 6. Februar 2024 wurde das MDR-Team auf eine XDR-duo-Account-Manipulation
-Erkennung in Ihrer Umgebung aufmerksam gemacht, die durch user marked fraud
in der DUO Multi-Faktor-Authentifizierung ausgelöst wurde. Der zugehöriger Benutzer war anadmin
und das Ereignis trat am 2024-02-05 21:17:33 UTC auf. Die IP des Geräts, das den Zugriffsversuch unternommen, lautete 193.219.44[.]198
und gehört ISP Comcast Ltd, London, England. Diese Anmeldeanforderung wurde für den versuchten Zugriff auf die Anwendung Office 365 Apps-Redacted-Ltd
generiert. Als Vorsichtsmaßnahme möchten wir bestätigen, ob dies versehentlich war oder der Benutzer dies absichtlich als Betrug markiert hat, da er keine Anmeldung zur Anforderung von MFA durchgeführt hat. Bitte sehen Sie sich unsere Empfehlungen unten an, und lassen Sie uns wissen, wenn Sie Fragen oder Bedenken haben.
Empfehlungen
- Bestätigen Sie mit dem MDR-Team, dass die oben beschriebene Aktivität vom Benutzer
anadmin
erwartet wurde. - Falls nicht erwartet, setzen Sie die Zugangsdaten für den Benutzer
anadmin
zurück.
Kundenantwort
Nach dieser Eskalation antwortete der Kunde, dass der Benutzer eine Duo-Authentifizierungsanfrage auf seinem Telefon erhalten habe, die nicht von ihm initiiert wurde. Daher lehnte der Benutzer die Anforderung ab und löste die Warnmeldung aus. Da dies keine erwartete Authentifizierung war, wurde das Kennwort des Benutzers zurückgesetzt.
Fall 2
Der Fall
Am 11. Januar 2024 erhielt das Sophos MDR-Team eine Reihe von Sicherheitswarnungen von XDR-duo-Account-Manipulation
. Der Warnmeldungstyp mit dem höchsten Score lautete user_marked_fraud
und wird im Rahmen der MITRE-ANGRIFFSTECHNIK als Account Manipulation
zugeordnet. Wir stellten fest, dass der Warnhinweis-Sicherheitsmechanismus auf die Aktivität reagierte – actioned
(ursprüngliche Warnhinweis-Maßnahme: Information). Bei der MDR-Untersuchung wurde festgestellt, dass der Benutzer user[@]domain.com
eine Duo-Anfrage als Betrug markierte. Wir haben die Quell-IP xx.xxx.xx.xx
überprüft und keine schädlichen Artefakte festgestellt. OSINT auf der IP zeigt eine Zugehörigkeit zu Verizon Business in New York. Der Zeitpunkt der Aktivität wurde als 2024-01-11 10:39:24.012 UTC angegeben.
Empfehlungen
- Bestätigen Sie, ob diese Anmeldeaktivität erwartet wird.
- Wenn die Aktivität nicht erwartet wird, setzen Sie die Benutzeranmeldeinformationen für
user[@]domain.com
zurück.
Bitte informieren Sie MDR über Ihre Maßnahmen und Ergebnisse, nachdem Sie unsere Empfehlungen geprüft haben. Bei weiteren Fragen oder Bedenken können Sie uns gerne kontaktieren.