コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

FortiGate のケーススタディ

Sophos MDR チームは、Fortigate がエクスプロイトを検出した次のケースをエスカレーションしました。

ケース

2024年 1月 16日、MDR チームは XDR-fortinet-fortigate-Exploitation-for-Credential-Access 検出の警告を受けました。警告の種類は、MITRE ATTACK 手法の下に Exploitation-for-Credential-Access としてマップされています。アクションカテゴリが アラートセキュリティ制御による unactioned であることがわかりました。調査中に、IP 85[.]209[.]11[.]108 から内部 IP 25[.]523[.]15[.]215 への接続試行が /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y の要求で行われていることが確認されまし た。OSINT によると、外部 IP アドレスは本質的に悪意があります。内部 IP は管理サイト内の管理対象ホストではないため、イベントへの可視性が制限されます。これらの結果に基づいて、以下の推奨事項を参照してください。

推奨事項

  • 可能であれば、MDR を使用してデバイス IP 25[.]523[.]15[.]215 を保護します。
  • ネットワーク境界ファイアウォールの IP 85[.]209[.]11[.]108 をブロックします。

お客様は、これ以上の侵入を防ぐために IP アドレスをブロックしたことを確認しました。