Études de cas d’intégration de Palo Alto
L’équipe Sophos MDR a fait remonter le dossier suivant pour Palo Alto.
Le dossier
Le 7 février, MDR a été alerté de la présence d'un XDR-palo-alto-Command-and-Control
dans votre parc informatique. Ces alertes ont été générées à partir d'un hôte non géré du trafic réseau xx.x.xx.xxx
vers les adresses IP xx.xx.xxx.xxx
et xxx.xxx.xx.xxx
sur le port 53. L'alerte concerne une détection Cobalt Strike C2 pour laquelle aucune action n’a été prise. Une investigation plus approfondie de l'alerte a révélé que l'adresse IP xxx.xxx.xx.xxx
était bénigne car elle était résolue avec redacted[.]co[.]nz
, mais que l’adresse IP xx.xx.xxx.xxx
était connue comme malveillante et localisée à Pékin, en Chine. Nous avons étudié les processus, l'activité du réseau, les fichiers et les journaux et n'avons pas observé d'activité malveillante pour les hôtes avec des adresses IP xx.x.xx.xxx
et xx.x.xx.xxx
. Nous les avons également analysés à la recherche de domaines communs de persistance, tels que les shells inverses, les éléments de démarrage, les processus avec la variable d'environnement LD_PRELOAD, et n'avons observé aucune activité malveillante. N'hésitez pas à nous faire savoir si vous avez d'autres questions ou préoccupations au sujet de cette détection. Pour le moment, nous vous demandons de suivre nos recommandations énumérées ci-dessous.
Recommandations
Bloquez l’adresse IP malveillante xx.x.xx.xxx
sur le périmètre de votre réseau.