Aller au contenu
Découvrez comment nous prenons en charge MDR.

Études de cas d’intégration Cisco Duo.

L’équipe Sophos MDR a fait remonter les dossiers suivants pour des alertes de Cisco Duo.

Cas 1

Le dossier

Le 6 février 2024, l'équipe MDR a été avertie d'une détection XDR-duo-Account-Manipulation au sein de votre parc informatique, déclenchée par user marked fraud sur l’authentificateur multifacteur DUO. L'évènement a été associé à l'utilisateur anadmin et s'est produit à 2024-02-05 21:17:33 UTC. L'adresse IP de l'appareil qui a tenté l'accès était 193.219.44[.]198 appartenant à ISP Comcast Ltd, à Londres, en Angleterre. Cette demande de connexion a été générée pour une tentative d'accès à l'application Office 365 Apps-Redacted-Ltd. Par mesure de précaution, nous aimerions confirmer si la signalisation était accidentelle ou si l'utilisateur a intentionnellement marqué l'événement comme frauduleux car il ne s’est pas connecté pour demander MFA. Veuillez consulter nos recommandations ci-dessous, et faites-nous savoir si vous avez des questions ou des préoccupations particulières.

Recommandations

  • Confirmez auprès de l'équipe MDR que l'activité décrite ci-dessus était attendue par l'utilisateur anadmin.
  • Si ce n'était pas le cas, réinitialisez les identifiants de l'utilisateur anadmin.

Réponse du client

Suite à cette remontée, le client a répondu que l'utilisateur avait reçu une demande d'authentification Duo sur son téléphone, qu’il n'avait pas initiée. C’est pourquoi l'utilisateur a refusé la demande et a déclenché l'alerte. Comme il ne s'agissait pas d'une authentification attendue, le mot de passe de l'utilisateur a été réinitialisé.

Cas 2

Le dossier

Le 11 janvier 2024, l’équipe Sophos MDR a reçu un groupe d’alertes de sécurité de XDR-duo-Account-Manipulation. Le type d'alerte ayant le score d'alerte le plus élevé est user_marked_fraud, mappé à la technique MITRE ATTACK en tant que Account Manipulation. Nous avons constaté que l'activité avait était marquée actioned (action d’alerte initiale : information) par le contrôle de sécurité pour résoudre l’activité. L'investigation MDR a observé que l'utilisateur user[@]domain.com a marqué une demande Duo comme fraude. Nous avons vérifié l'IP source xx.xxx.xx.xx et n'avons observé aucun artefact malveillant. Les données OSINT sur l’adresse IP ont révélé qu'elle appartenait à Verizon Business, située à New York. L'activité s’est produite le 11 janvier 2024 10:39:24.012 UTC.

Recommandations

  • Confirmez si cette activité de connexion était attendue.
  • Si ce n’est pas le cas, réinitialisez les identifiants de l'utilisateur pour user[@]domain.com.

Veuillez informer l’équipe MDR de vos actions et de vos conclusions après avoir examiné nos recommandations. N’hésitez pas à nous contacter si vous avez d’autres questions ou préoccupations.