Fallstudien zur Veeam-Integration
Der Fall
Das Sophos MDR-Team hat eine Gruppe von Sicherheitswarnmeldungen vom Quellsystem Veeam erhalten. Der Warnmeldungstyp mit dem höchsten Score lautet GlobalMfaDisabled
und wird im Rahmen der MITRE-ANGRIFFSTECHNIK als „Umgehung der Abwehr“ zugeordnet. Da das betroffene Gerät von MDR verwaltet wird, haben wir das Cluster überprüft, indem wir Telemetriedaten aus XDR basierend auf den geparsten Warnmeldungsinformationen wie Einheiten und Attributen nutzten. Wir stellten fest, dass der Warnhinweis-Sicherheitsmechanismus nicht auf die Aktivität reagierte (unactioned
). Unserer Analyse zur Folge war die Warnmeldung auf die Multi-Faktor-Authentifizierung zurückzuführen, die durch VEEAM-user
deaktiviert wurde. Das MDR-Team prüfte die Anmeldereignisse auf dem Host VEEAM-host
und beobachtete mehrere erfolgreiche Anmeldungen für user
. Lesen Sie jetzt unsere Empfehlungen weiter unten.
Empfehlungen
- Bestätigen Sie, ob der Benutzer
user
, der die MFA deaktiviert, erwartet wird. - Falls unerwartet, deaktivieren Sie den Benutzer
user
und melden Sie sich an MDR, damit wir unsere Analyse fortsetzen können.
Bitte informieren Sie MDR über Ihre Maßnahmen und Ergebnisse, nachdem Sie unsere Empfehlungen geprüft haben. Bei weiteren Fragen oder Bedenken können Sie uns gerne kontaktieren.