Études de cas d’intégration de Veeam
Le dossier
L’équipe Sophos MDR a reçu un ensemble d’alertes de sécurité de la part du système source de Veeam. Le type d’alerte avec le score le plus élevé est GlobalMfaDisabled
, mappé à la technique MITRE ATTACK en tant qu’évasion des défenses. L’appareil concerné étant géré par MDR, nous avons examiné les alertes en exploitant la télémétrie XDR en fonction des informations d’alerte analysées (ex. entités, attributs, etc.) Nous avons observé que l’activité était définie à l’état unactioned
par le contrôle de sécurité d’alerte. D’après notre examen, l’alerte était due à l’authentification multifacteur désactivée par VEEAM-user
. L’équipe MDR a examiné les événements de connexion sur l’hôte VEEAM-host
et a observé plusieurs connexions réussies pour user
. Pour le moment, passez en revue nos recommandations ci-dessous.
Recommandations
- Confirmez si l’utilisateur
user
doit désactiver l’AMF. - Si l’évènement était inattendu, désactivez l’utilisateur
user
et signalez-le à MDR afin que nous puissions poursuivre notre investigation.
Veuillez informer l’équipe MDR de vos actions et de vos conclusions après avoir examiné nos recommandations. N’hésitez pas à nous contacter si vous avez d’autres questions ou préoccupations.