Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Fallstudien zur Veeam-Integration

Der Fall

Das Sophos MDR-Team hat eine Gruppe von Sicherheitswarnmeldungen vom Quellsystem Veeam erhalten. Der Warnmeldungstyp mit dem höchsten Score lautet GlobalMfaDisabled und wird im Rahmen der MITRE-ANGRIFFSTECHNIK als „Umgehung der Abwehr“ zugeordnet. Da das betroffene Gerät von MDR verwaltet wird, haben wir das Cluster überprüft, indem wir Telemetriedaten aus XDR basierend auf den geparsten Warnmeldungsinformationen wie Einheiten und Attributen nutzten. Wir stellten fest, dass der Warnhinweis-Sicherheitsmechanismus nicht auf die Aktivität reagierte (unactioned). Unserer Analyse zur Folge war die Warnmeldung auf die Multi-Faktor-Authentifizierung zurückzuführen, die durch VEEAM-user deaktiviert wurde. Das MDR-Team prüfte die Anmeldereignisse auf dem Host VEEAM-host und beobachtete mehrere erfolgreiche Anmeldungen für user. Lesen Sie jetzt unsere Empfehlungen weiter unten.

Empfehlungen

  • Bestätigen Sie, ob der Benutzer user, der die MFA deaktiviert, erwartet wird.
  • Falls unerwartet, deaktivieren Sie den Benutzer user und melden Sie sich an MDR, damit wir unsere Analyse fortsetzen können.

Bitte informieren Sie MDR über Ihre Maßnahmen und Ergebnisse, nachdem Sie unsere Empfehlungen geprüft haben. Bei weiteren Fragen oder Bedenken können Sie uns gerne kontaktieren.