Cisco Duo 統合のケーススタディ
Sophos MDR チームは、Cisco Duo の警告について次のケースをエスカレーションしました。
ケース 1
ケース
2024年 2月6 日、MDR チームは、Duo 多要素認証システム上で user marked fraud
によってトリガーされた管理サイト内の XDR-duo-Account-Manipulation
検出について警告を受け取りました。これはユーザー anadmin
に関連付けられ、2024-02-05 21:17:33 UTC に発生しました。アクセスしようとしているデバイスの IP は 193.219.44[.]198
で、これは英国ロンドンの ISP Comcast Ltd に属していました。このログイン要求は、アプリケーション Office 365 Apps-Redacted-Ltd
へのアクセス試行に対して生成されました 。ソフォスでは、予防措置として、これが偶然であるか、または MFAを 要求するためのログインを実行しなかったため、ユーザーが意図的にこれを詐欺としてマークしたかどうかを確認する必要があると考えています。以下の推奨事項をご覧ください。質問や懸念がある場合はお知らせください。
推奨事項
- MDR チームに、上記のアクティビティがユーザー
anadmin
に予期れていたことかどうかを確認します 。 - 予期されていなかった場合は、ユーザー
anadmin
の認証情報をリセットします 。
お客様の反応
この問題のエスカレーション後、お客様は、ユーザーが自分の電話機で Duo 認証要求を受信したが、これは自分が開始したものではないと回答しました。ユーザーは要求を拒否したため、警告が出されました。これは予期された認証ではなかったため、ユーザーのパスワードがリセットされました。
ケース 2
ケース
2024年 1月 11日、 Sophos MDR チームは XDR-duo-Account-Manipulation
から一連のセキュリティ警告を受信しました。警告スコアが最も高い警告の種類は user_marked_fraud
で、MITRE Attack Technique の下に Account Manipulation
としてマッピングされます 。警告セキュリティ制御により、アクティビティが actioned
(元の警告アクション: 情報) であることが確認されました。MDR 調査では、ユーザー user[@]domain.com
が Duo 要求を不正としてマークしたことが確認されました。送信元 IP xx.xxx.xx.xx
を確認しましたが、悪意のあるアーティファクトは検出されませんでした。IP 上の OSINT は、ニューヨークにある Verizon Business に属していることが示されています。アクティビティの時間は 2024-01-11 10:39:24.012 UTC と記録されていました。
推奨事項
- このサインインのアクティビティが予期されていたかどうかを確認します。
- アクティビティが予期されていない場合は、
user[@]domain.com
のユーザー認証情報をリセットします 。
推奨事項を確認した後で、行った動作と結果を MDR にお知らせください。ご不明な点やご不明な点がございましたら、お気軽にお問い合わせください。