Études de cas d’intégration Cisco Duo.
L’équipe Sophos MDR a fait remonter les dossiers suivants pour des alertes de Cisco Duo.
Cas 1
Le dossier
Le 6 février 2024, l'équipe MDR a été avertie d'une détection XDR-duo-Account-Manipulation
au sein de votre parc informatique, déclenchée par user marked fraud
sur l’authentificateur multifacteur DUO. L'évènement a été associé à l'utilisateur anadmin
et s'est produit à 2024-02-05 21:17:33 UTC. L'adresse IP de l'appareil qui a tenté l'accès était 193.219.44[.]198
appartenant à ISP Comcast Ltd, à Londres, en Angleterre. Cette demande de connexion a été générée pour une tentative d'accès à l'application Office 365 Apps-Redacted-Ltd
. Par mesure de précaution, nous aimerions confirmer si la signalisation était accidentelle ou si l'utilisateur a intentionnellement marqué l'événement comme frauduleux car il ne s’est pas connecté pour demander MFA. Veuillez consulter nos recommandations ci-dessous, et faites-nous savoir si vous avez des questions ou des préoccupations particulières.
Recommandations
- Confirmez auprès de l'équipe MDR que l'activité décrite ci-dessus était attendue par l'utilisateur
anadmin
. - Si ce n'était pas le cas, réinitialisez les identifiants de l'utilisateur
anadmin
.
Réponse du client
Suite à cette remontée, le client a répondu que l'utilisateur avait reçu une demande d'authentification Duo sur son téléphone, qu’il n'avait pas initiée. C’est pourquoi l'utilisateur a refusé la demande et a déclenché l'alerte. Comme il ne s'agissait pas d'une authentification attendue, le mot de passe de l'utilisateur a été réinitialisé.
Cas 2
Le dossier
Le 11 janvier 2024, l’équipe Sophos MDR a reçu un groupe d’alertes de sécurité de XDR-duo-Account-Manipulation
. Le type d'alerte ayant le score d'alerte le plus élevé est user_marked_fraud
, mappé à la technique MITRE ATTACK en tant que Account Manipulation
. Nous avons constaté que l'activité avait était marquée actioned
(action d’alerte initiale : information) par le contrôle de sécurité pour résoudre l’activité. L'investigation MDR a observé que l'utilisateur user[@]domain.com
a marqué une demande Duo comme fraude. Nous avons vérifié l'IP source xx.xxx.xx.xx
et n'avons observé aucun artefact malveillant. Les données OSINT sur l’adresse IP ont révélé qu'elle appartenait à Verizon Business, située à New York. L'activité s’est produite le 11 janvier 2024 10:39:24.012 UTC.
Recommandations
- Confirmez si cette activité de connexion était attendue.
- Si ce n’est pas le cas, réinitialisez les identifiants de l'utilisateur pour
user[@]domain.com
.
Veuillez informer l’équipe MDR de vos actions et de vos conclusions après avoir examiné nos recommandations. N’hésitez pas à nous contacter si vous avez d’autres questions ou préoccupations.