Vai al contenuto
Il supporto che offriamo per MDR.

Case study per l’integrazione Cisco Duo.

Il team Sophos MDR ha mandato in escalation i seguenti casi per gli avvisi di Cisco Duo.

Caso 1

Il caso

Il 6 febbraio 2024, il team MDR ha ricevuto un avviso relativo a un rilevamento XDR-duo-Account-Manipulation nel tuo ambiente, che era stato attivato da user marked fraud sullo strumento di autenticazione a più fattori DUO. Questo problema era associato all’utente anadmin e si è verificato il giorno 05-02-2024 alle ore 21:17:33 UTC. L’IP del dispositivo che ha effettuato il tentativo di accesso è 193.219.44[.]198, che appartiene all’ISP Comcast Ltd. a Londra, Inghilterra. Questa richiesta di accesso è stata generata per un tentativo di accesso all’applicazione Office 365 Apps-Redacted-Ltd. Per precauzione, desideriamo confermare se si tratta di un caso accidentale o se l’utente ha intenzionalmente contrassegnato questa operazione come frode, in quanto non ha eseguito l’accesso per richiedere l’MFA. Ti invitiamo a leggere le nostre raccomandazioni riportate qui sotto e a farci sapere se hai domande o dubbi.

Raccomandazioni

  • Contatta il team MDR per confermare che l’attività descritta sopra era prevista dall’utente anadmin.
  • Se non era prevista, reimposta le credenziali dell’utente anadmin.

Risposta del cliente

In seguito a questa escalation, il cliente ha risposto che l’utente aveva ricevuto sul suo telefono una richiesta di autenticazione di Duo che non aveva avviato. Pertanto, l’utente ha negato la richiesta e questo ha attivato l’avviso. Poiché questa autenticazione non era prevista, la password dell’utente è stata reimpostata.

Caso 2

Il caso

L’11 gennaio 2024, il team Sophos MDR ha ricevuto un gruppo di avvisi di sicurezza da XDR-duo-Account-Manipulation. Il tipo di avviso con il punteggio di avviso più alto è user_marked_fraud, mappato sotto la tecnica MITRE ATT&CK come Account Manipulation. Abbiamo osservato che l’attività risultava actioned (azione di avviso originale: “information”, ovvero informazione) dal controllo di sicurezza per gli avvisi. Un’indagine MDR ha rilevato che l’utente user[@]domain.com aveva contrassegnato come frode una richiesta di Duo. Abbiamo controllato l’IP di origine xx.xxx.xx.xx e non abbiamo notato elementi dannosi. L’OSINT sull’IP indica che appartiene a Verizon Business, che ha sede a New York. L’ora dell’attività è stata annotata come 11-01-2024 alle ore 10:39:24.012 UTC.

Raccomandazioni

  • Conferma se questa attività di accesso è prevista.
  • Se l’attività non è prevista, reimposta le credenziali utente di user[@]domain.com.

Dopo aver esaminato le nostre raccomandazioni, ti preghiamo di informare MDR delle azioni intraprese e dei risultati ottenuti. Non esitare a contattarci in caso di qualsiasi altro dubbio o domanda.