Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=darktrace-cases

Fallstudien zur Darktrace-Integration

Protokollsammler Netzwerk

Hier stellen wir einen Fall vor, der von einem Darktrace-Integrationsalarm generiert wurde.

Der Fall

Am 26. Februar 2024 erhielt das Sophos MDR-Team eine Reihe von Sicherheitswarnungen von XDR-darktrace-Command-and-Control. Der Warnmeldungstyp mit dem höchsten Score lautete 4 und wird im Rahmen der MITRE-ANGRIFFSTECHNIK als Command and Control zugeordnet. Wir stellten fest, dass der Sicherheitsmechanismus für Warnhinweise nicht auf die Aktivitätskategorie reagierte (unactioned). Das MDR-Team stellte fest, dass die Erkennung auf dem Quellsystem DarkTrace im Zusammenhang mit dem Gerät redacted aufgrund von Verbindungsversuchen von den IP-Adressen xxx.xx.xx.xxx mit dem Betreff ICS/Rare External from OT Device alarmiert wurde. Bei der Analyse historischer Open-Socket-Verbindungen besteht eine Open-Socket-Verbindung zu IP-Adresse xxx.xx.xx.xxx vom Host redacted. Weitere Maßnahmen sind erforderlich. Unten finden Sie unsere Empfehlungen.

Empfehlungen

  1. Bestätigen Sie, dass der Verbindungsversuch von der genannten IP-Adresse erwartet wurde.
  2. Blockieren Sie die IP-Adresse an Ihrem Netzwerk-Perimeter, falls vorhanden.

Bitte informieren Sie MDR über Ihre Maßnahmen und Ergebnisse, nachdem Sie unsere Empfehlungen geprüft haben. Bei weiteren Fragen oder Bedenken können Sie uns gerne kontaktieren.