Aller au contenu
Découvrez comment nous prenons en charge MDR.

Études de cas d’intégration de Palo Alto

L’équipe Sophos MDR a fait remonter le dossier suivant pour Palo Alto.

Le dossier

Le 7 février, MDR a été alerté de la présence d'un XDR-palo-alto-Command-and-Control dans votre parc informatique. Ces alertes ont été générées à partir d'un hôte non géré du trafic réseau xx.x.xx.xxx vers les adresses IP xx.xx.xxx.xxx et xxx.xxx.xx.xxx sur le port 53. L'alerte concerne une détection Cobalt Strike C2 pour laquelle aucune action n’a été prise. Une investigation plus approfondie de l'alerte a révélé que l'adresse IP xxx.xxx.xx.xxx était bénigne car elle était résolue avec redacted[.]co[.]nz , mais que l’adresse IP xx.xx.xxx.xxx était connue comme malveillante et localisée à Pékin, en Chine. Nous avons étudié les processus, l'activité du réseau, les fichiers et les journaux et n'avons pas observé d'activité malveillante pour les hôtes avec des adresses IP xx.x.xx.xxx et xx.x.xx.xxx. Nous les avons également analysés à la recherche de domaines communs de persistance, tels que les shells inverses, les éléments de démarrage, les processus avec la variable d'environnement LD_PRELOAD, et n'avons observé aucune activité malveillante. N'hésitez pas à nous faire savoir si vous avez d'autres questions ou préoccupations au sujet de cette détection. Pour le moment, nous vous demandons de suivre nos recommandations énumérées ci-dessous.

Recommandations

Bloquez l’adresse IP malveillante xx.x.xx.xxx sur le périmètre de votre réseau.