Aller au contenu
Découvrez comment nous prenons en charge MDR.

Études de cas d’intégration de Veeam

Le dossier

L’équipe Sophos MDR a reçu un ensemble d’alertes de sécurité de la part du système source de Veeam. Le type d’alerte avec le score le plus élevé est GlobalMfaDisabled, mappé à la technique MITRE ATTACK en tant qu’évasion des défenses. L’appareil concerné étant géré par MDR, nous avons examiné les alertes en exploitant la télémétrie XDR en fonction des informations d’alerte analysées (ex. entités, attributs, etc.) Nous avons observé que l’activité était définie à l’état unactioned par le contrôle de sécurité d’alerte. D’après notre examen, l’alerte était due à l’authentification multifacteur désactivée par VEEAM-user. L’équipe MDR a examiné les événements de connexion sur l’hôte VEEAM-host et a observé plusieurs connexions réussies pour user. Pour le moment, passez en revue nos recommandations ci-dessous.

Recommandations

  • Confirmez si l’utilisateur user doit désactiver l’AMF.
  • Si l’évènement était inattendu, désactivez l’utilisateur user et signalez-le à MDR afin que nous puissions poursuivre notre investigation.

Veuillez informer l’équipe MDR de vos actions et de vos conclusions après avoir examiné nos recommandations. N’hésitez pas à nous contacter si vous avez d’autres questions ou préoccupations.