Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=fortigate-cases

Case study per Fortigate

Il team Sophos MDR ha mandato in escalation il seguente caso, per il quale Fortigate ha rilevato un exploit:

Il caso

Il 16 gennaio 2024, il team MDR ha ricevuto un avviso relativo a un rilevamento XDR-fortinet-fortigate-Exploitation-for-Credential-Access. Il tipo di avviso era mappato sotto la tecnica MITRE ATT&CK come Exploitation-for-Credential-Access. Abbiamo osservato che la categoria di azione risultava unactioned dal controllo di sicurezza per gli avvisi. Durante le nostre indagini, abbiamo osservato un tentativo di connessione dall’IP 85[.]209[.]11[.]108 all’IP interno 25[.]523[.]15[.]215 con una richiesta /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y. In base all’OSINT, l’indirizzo IP esterno è di natura dannosa. L’IP interno non è un host gestito nel tuo ambiente, e questo limita la nostra visibilità sugli eventi. In base a questi risultati, ti invitiamo a leggere le nostre raccomandazioni qui di seguito.

Raccomandazioni

  • Proteggi l’IP del dispositivo 25[.]523[.]15[.]215 con MDR, se possibile.
  • Blocca l’IP 85[.]209[.]11[.]108 sul tuo firewall del perimetro di rete.

Il cliente ha confermato di avere bloccato l’indirizzo IP per evitare ulteriori intrusioni.