Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=darktrace-cases

Études de cas d’intégration de Darktrace

Voici un dossier généré par une alerte d'intégration Darktrace.

Le dossier

Le 26 février 2024, l’équipe Sophos MDR a reçu un groupe d’alertes de sécurité de XDR-darktrace-Command-and-Control. Le type d'alerte ayant le score d'alerte le plus élevé est 4, mappé à la technique MITRE ATTACK en tant que Command and Control. Nous avons observé que la catégorie de l’activité était définie comme unactioned par le contrôle de sécurité ayant soulevé l’alerte. Nous avons constaté que la détection avait été identifiée sur le système source DarkTrace associé à l'appareil redacted en raison de tentatives de connexion à partir des adresses IP xxx.xx.xx.xxx avec le sujet ICS/Rare External from OT Device. Une lecture des connexions de socket ouvertes passées a révélé qu’il y avait une connexion de socket ouverte vers l'adresse IP xxx.xx.xx.xxx à partir de l'hôte redacted. Aucune action de remédiation n’est requise. Veuillez trouver nos recommandations ci-dessous.

Recommandations

  1. Vérifiez que la tentative de connexion à l'IP mentionnée était attendue.
  2. Bloquez l'adresse IP au niveau du périmètre réseau, si nécessaire.

Veuillez informer l’équipe MDR de vos actions et de vos conclusions après avoir examiné nos recommandations. N’hésitez pas à nous contacter si vous avez d’autres questions ou préoccupations.