Études de cas sur l’intégration de Google Workspace
L’équipe Sophos MDR a fait remonter le dossier suivant pour une détection de Google Workspace.
Le dossier
Le 10 septembre 2023, Sophos a été alerté d’une détection XDR-google-workspace-Valid-Accounts
en raison d’une entité interne marta@redacted.uk
montrant une activité suspecte, entraînant la suspension du compte. Cette détection déclenche l’activité possible d’un adversaire essayant d’obtenir des autorisations de niveau supérieur. L’élévation des privilèges est un ensemble de techniques utilisées pour obtenir des autorisations de niveau supérieur sur un système ou un réseau. Il est relativement facile pour un pirate d’accéder à un réseau et de l’explorer avec un accès non privilégié, mais pour atteindre son objectif, il a besoin d’obtenir des autorisations de niveau supérieur. Les méthodes les plus courantes pour y parvenir sont d’exploiter les faiblesses, les mauvaises configurations et les vulnérabilités du système. Exemples d’accès supérieur : * niveau SYSTÈME/racine * administrateur local * compte utilisateur avec accès de type administrateur * comptes utilisateur avec accès à un système spécifique ou exécutant une fonction spécifique. Ces techniques ont souvent des points communs avec les techniques de persistance, car les fonctionnalités du système d'exploitation qui laissent un adversaire persister peuvent s'exécuter dans un contexte élevé. Après un examen plus approfondi, nous avons formulé des recommandations afin de faire avancer le dossier.
Recommandations
- Vérifier l'activité de connexion de l'utilisateur
marta@redacted.uk
. - Modifier le mot de passe de l'utilisateur.
- Notifier Sophos MDR de toutes les constatations et actions.
Réponse du client
Bonjour Jay, juste pour vous tenir au courant, le compte de l’utilisateur a été suspendu automatiquement par Darktrace SAAS. J'ai réinitialisé le mot de passe de l'utilisateur et désactivé son compte AD. D'après les investigations menées en interne, je présume que cet utilisateur ne travaille plus pour l'entreprise étant donné que son profil a été désactivé sur notre espace de travail interne par Meta, mais je ne trouve aucun préavis de départ de la part de nos ressources humaines ou de notre service d'assistance au nom de l'utilisateur.
Nous allons poursuivre l’enquête en interne et vous informerons dès que nous aurons plus d'informations à vous faire part.