Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Estudios de casos de integración de Palo Alto

El equipo de Sophos MDR derivó el siguiente caso para Palo Alto.

El caso

El 7 de febrero, MDR fue alertado de una actividad XDR-palo-alto-Command-and-Control en su entorno. Estas alertas se generaron desde el host no administrado de tráfico de red xx.x.xx.xxx a las IP xx.xx.xxx.xxx y xxx.xxx.xx.xxx a través del puerto 53. La alerta es para una detección de Cobalt Strike C2 no accionada. Una investigación adicional sobre la alerta indicó que la IP xxx.xxx.xx.xxx es benigna, ya que se resuelve en redacted[.]co[.]nz. Sin embargo, la IP xx.xx.xxx.xxx es una IP maliciosa conocida geolocalizada en Pekín, China. Investigamos procesos, actividad de red, archivos y registros y no observamos actividad maliciosa para los hosts con las IP xx.x.xx.xxx y xx.x.xx.xxx. También los investigamos en busca de áreas comunes de persistencia, como shells inversos, elementos de inicio y procesos con la variable de entorno LD_PRELOAD establecida, y no observamos actividad maliciosa. Comuníquenos si tiene más dudas o preguntas. En este momento, le pedimos que siga nuestras recomendaciones, que indicamos a continuación.

Recomendaciones

Bloquee la IP maliciosa xx.x.xx.xxx en el perímetro de su red.