Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=darktrace-cases

Case study per l’integrazione Darktrace

Agente di raccolta log Rete

Quello che segue è un caso generato da un avviso dell’integrazione Darktrace.

Il caso

Il 26 febbraio 2024, il team Sophos MDR ha ricevuto un gruppo di avvisi di sicurezza da XDR-darktrace-Command-and-Control. Il tipo di avviso con il punteggio di avviso più alto è 4, mappato sotto la tecnica MITRE ATT&CK come Command and Control. Abbiamo osservato che la categoria dell’attività risulta unactioned dal controllo di sicurezza per gli avvisi. Dalle indagini del team MDR è emerso che è stata attivata una notifica di rilevamento sul sistema di origine DarkTrace associato al dispositivo redacted, a causa di tentativi di connessione dagli indirizzi IP xxx.xx.xx.xxx con oggetto ICS/Rare External from OT Device. Svolgendo indagini sullo storico delle connessioni socket aperte, è stata identificata una connessione socket aperta verso l’IP xxx.xx.xx.xxx, proveniente dall’host redacted. È richiesta ulteriore azione. Di seguito indichiamo le nostre raccomandazioni.

Raccomandazioni

  1. Conferma se il tentativo di connessione dall’IP menzionato era previsto.
  2. Blocca l’IP sul perimetro di rete, se applicabile.

Dopo aver esaminato le nostre raccomandazioni, ti preghiamo di informare MDR delle azioni intraprese e dei risultati ottenuti. Non esitare a contattarci in caso di qualsiasi altro dubbio o domanda.