Estudios de casos de integración de Cisco Duo.
El equipo de Sophos MDR derivó los siguientes casos para alertas de Cisco Duo.
Caso 1
El caso
El 6 de febrero de 2024, el equipo de MDR fue alertado de una detección XDR-duo-Account-Manipulation
dentro de su entorno, que fue activada por user marked fraud
en el autenticador multifactor de DUO. Esto se asoció con el usuario anadmin
y ocurrió el 05-02-2024 a las 21:17:33 UTC. La IP del dispositivo que intentó acceder era 193.219.44[.]198
, que pertenece al ISP Comcast Ltd, en Londres, Inglaterra. Esta solicitud de inicio de sesión se generó para intentar acceder a la aplicación Office 365 Apps-Redacted-Ltd
. Como precaución, nos gustaría confirmar si esto fue accidental o si el usuario intencionalmente marcó esto como fraude, ya que no realizó un inicio de sesión para solicitar MFA. Vea nuestras recomendaciones a continuación y comuníquenos si tiene alguna duda o pregunta.
Recomendaciones
- Confirme con el equipo de MDR que la actividad descrita anteriormente fue esperada por el usuario
anadmin
. - Si no se esperaba, restablezca las credenciales para el usuario
anadmin
.
Respuesta del cliente
Tras esta derivación, el cliente respondió que el usuario recibió una solicitud de autenticación de Duo en su teléfono, que no fue iniciada por él. Por lo tanto, el usuario denegó la solicitud y activó la alerta. Dado que esta no era una autenticación esperada, se restableció la contraseña del usuario.
Caso 2
El caso
El 11 de enero de 2024, el equipo de Sophos MDR recibió un grupo de alertas de seguridad de XDR-duo-Account-Manipulation
. El tipo de alerta con la puntuación de alerta más alta es user_marked_fraud
agrupado bajo la técnica MITRE ATTACK como Account Manipulation
. Constatamos que la actividad fue actioned
(acción de alerta inicial: información) por el control de seguridad de alertas. La investigación de MDR observó que el usuario user[@]domain.com
marcó una solicitud de Duo como fraude. Hemos comprobado la IP de origen xx.xxx.xx.xx
y no hemos observado ningún artefacto malicioso. OSINT en la IP indica que pertenece a Verizon Business, ubicada en Nueva York. El momento de la actividad fue registrado el 11-01-2024 a las:39:24.012 UTC.
Recomendaciones
- Confirme si se esperaba esta actividad de inicio de sesión.
- Si no se esperaba la actividad, restablezca las credenciales de usuario para
user[@]domain.com
.
Informe a Sophos MDR de sus medidas y conclusiones tras revisar nuestras recomendaciones. No dude en ponerse en contacto con nosotros si tiene más preguntas o dudas.