コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Palo Alto の統合のケーススタディ

Sophos MDRチームは、Palo Alto の次のケースをエスカレーションしました。

ケース

2月 7日に、MDRはお客様の管理サイトでの XDR-palo-alto-Command-and-Control についての警告を受信しました。これらの警告は、ネットワークトラフィックから管理対象外のホスト xx.x.xx.xxx から IP xx.xx.xxx.xxx および xxx.xxx.xx.xxx へポート 53 を介して生成されました。この警告は、アクションを実行していない Cobalt Strike C2 検出に対するものです。警告のさらなる調査では、IP xxx.xxx.xx.xxxredacted[.]co[.]nz に解決したため無害であることが判明しましたが、IP xx.xx.xxx.xxx は中国の北京にある既知の悪意のある IP です。プロセス、ネットワークアクティビティ、ファイル、ログを調査しましたが、IP xx.x.xx.xxxxx.x.xx.xxx を持つホストの悪意のあるアクティビティは観察されませんでした 。また、リバースシェル、スタートアップ項目、LD_PRELOAD 環境変数が設定されたプロセスなど、永続性のある共通領域についても調査しましたが、悪意のあるアクティビティは検出されませんでした。ご不明な点やご不明な点がございましたら、お知らせください。現時点では、以下にリストされている推奨事項に従ってください。

推奨事項

ネットワーク境界の IP xx.x.xx.xxx をブロックします。