Google Workspace の統合のケーススタディ
Sophos MDR チームは、Google Workspace 検出について次のケースをエスカレーションしました。
ケース
2023年 10月 9日に、内部エンティティ marta@redacted.uk
が疑わしいアクティビティを示しているため、ソフォスに検出 XDR-google-workspace-Valid-Accounts
への警告が送信され、アカウントが一時停止されました。この検出は、より高レベルの権限を取得しようとする可能性のある攻撃者のアクティビティをトリガーします。権限昇格は、システムやネットワーク上でより高レベルの権限を取得するために攻撃者が使用する手法です。攻撃者は、権限なしでネットワークにアクセスして探索することがよくありますが、目的を達成するためにはより高レベルの権限が必要となります。一般的なアプローチは、システムの弱点、設定ミス、および脆弱性を悪用することです。アクセス権限の昇格の例は次のとおりです。*システム/ルートレベル *ローカル管理者 *管理者同等のアクセスを持つユーザーアカウント *特定のシステムへのアクセス権を持つユーザーアカウント、または特定の機能を実行するユーザーアカウント。このような手法は、よく永続化手法と重複することがあります。攻撃者の永続化を許した OS の機能は、昇格された権限で実行することができるためです。さらに確認を重ねた結果、今回の案件に向けて推奨事項に提供しました。
推奨事項
- エンドユーザー
marta@redacted.uk
のログインアクティビティを確認します 。 - エンドユーザー パスワードを変更します。
- すべての調査結果とアクションを MDR に通知します。
お客様の反応
こんにちは こちらの状況の最新情報としては、Jay、Darktrace SaaS によってユーザーのアカウントが自動的に一時停止されました。ユーザーのパスワードをリセットし、AD アカウントもさらに無効にしました。社内調査から、Meta の社内ワークプレースで無効化されたプロファイルを使用すると、当該のユーザーが会社で働いていない可能性があると考えていますが、そのユーザーに関して人事またはサービスデスクから退職に関するリクエストを見つけることができません。
今後も社内調査を継続し、フィードバックできる情報が追加され次第お知らせします。