Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=darktrace-cases

Estudios de casos relacionados con la integración de Darktrace

Recopilador de registros Red

Presentamos un caso generado por una alerta de la integración de Darktrace.

El caso

El 26 de febrero de 2024, el equipo de Sophos MDR recibió un grupo de alertas de seguridad de XDR-darktrace-Command-and-Control. El tipo de alerta con la puntuación de alerta más alta es 4 agrupado bajo la técnica MITRE ATTACK como Command and Control. Observamos que la categoría de actividad era unactioned según el control de seguridad de alertas. Observamos que se activó una alerta de detección en el sistema de origen DarkTrace asociado con el dispositivo redacted debido a intentos de conexión desde las direcciones IP xxx.xx.xx.xxx con el asunto ICS/Rare External from OT Device. Al investigar las conexiones de socket abiertas históricas, hay una conexión de socket abierta a la IP xxx.xx.xx.xxx desde el host redacted. Es necesario tomar medidas adicionales. Detallamos las recomendaciones a continuación.

Recomendaciones

  1. Confirme si el intento de conexión desde la IP mencionada era esperado.
  2. Bloquee la IP en el perímetro de su red, si procede.

Informe a Sophos MDR de sus medidas y conclusiones tras revisar nuestras recomendaciones. No dude en ponerse en contacto con nosotros si tiene más preguntas o dudas.