Vai al contenuto
Il supporto che offriamo per MDR.

Case study per l’integrazione Veeam

Il caso

Il team Sophos MDR ha ricevuto un cluster di avvisi di sicurezza dal sistema di origine Veeam. Il tipo di avviso con il punteggio di avviso più alto è GlobalMfaDisabled, che è mappato sotto la tecnica MITRE ATT&CK come “Defense Evasion” (Elusione delle difese). Poiché il dispositivo interessato è gestito da MDR, abbiamo esaminato il cluster sfruttando i dati di telemetria di XDR in base alle informazioni analizzate dell’avviso, come le entità e gli attributi. Abbiamo osservato che l’attività risulta unactioned dal controllo di sicurezza per gli avvisi. In base alla nostra valutazione, l’avviso è stato causato dalla disattivazione dell’autenticazione a più fattori da parte di VEEAM-user. Il team MDR ha analizzato gli eventi di accesso sull’host VEEAM-host e ha osservato diversi accessi riusciti per user. A questo punto, ti invitiamo a controllare le nostre raccomandazioni riportate di seguito.

Raccomandazioni

  • Conferma se è prevista la disattivazione dell’MFA da parte dell’utente user.
  • Se non è prevista, disattiva l’utente user e invia una segnalazione a MDR, per permetterci di proseguire con le indagini.

Dopo aver esaminato le nostre raccomandazioni, ti preghiamo di informare MDR delle azioni intraprese e dei risultati ottenuti. Non esitare a contattarci in caso di qualsiasi altro dubbio o domanda.