Cisco Duo 통합 사례 연구
Sophos MDR 팀은 Cisco Duo 알림에 대해 다음과 같은 사례를 에스컬레이션했습니다.
사례 1
케이스
2024년 2월 6일, MDR 팀은 XDR-duo-Account-Manipulation
user marked fraud
Duo 멀티팩터 인증기에서 트리거된 부동산 내부의 탐지를 알렸습니다. 이것은 사용자와 연관되어 있으며 anadmin
2024-02-05 21:17:33 UTC에서 발생했습니다. 액세스를 시도하는 장치의 IP는 193.219.44[.]198
영국 런던의 ISP Comcast Ltd에 속해 있습니다. 이 로그인 요청은 응용 프로그램에 대한 액세스를 시도하기 위해 생성되었습니다. Office 365 Apps-Redacted-Ltd
예방 조치로, 사용자가 MFA를 요청하기 위해 로그인을 수행하지 않았기 때문에 이 문제가 우발적인 것인지 아니면 사용자가 의도적으로 사기 행위로 표시했는지 확인하고자 합니다. 아래의 권장 사항을 참조하시고, 질문이나 우려 사항이 있는 경우 알려주십시오.
권장 사항
- MDR 팀과 함께 위에서 설명한 활동이 사용자가 예상한 것인지를
anadmin
확인합니다. - 예상치 못한 경우 사용자 의 자격 증명을 재설정합니다.
anadmin
고객 반응
이 에스컬레이션 후 고객은 사용자가 전화로 Duo 인증 요청을 받았지만 본인이 시작하지 않았다고 응답했습니다. 따라서 사용자는 요청을 거부하고 경고를 트리거합니다. 이는 예상된 인증이 아니므로 사용자의 암호가 재설정되었습니다.
사례 2
케이스
2024년 1월 11일, Sophos MDR 팀은 로부터 일련의 보안 경고를 받았습니다 XDR-duo-Account-Manipulation
. 경고 점수가 가장 높은 경고 유형은 user_marked_fraud
MITRE 공격 기법에서 로 매핑됩니다 Account Manipulation
. actioned
경고 보안 제어에 의한 작업(원래 경고 조치: 정보)을 관찰했습니다. MDR 조사 결과 사용자가 user[@]domain.com
Duo 요청을 사기로 표시한 것으로 확인되었습니다. 소스 IP를 확인했으며 xx.xxx.xx.xx
악의적인 아티팩트가 발견되지 않았습니다. IP의 OSINT는 뉴욕에 위치한 Verizon Business에 속하는 것으로 표시합니다. 활동 시간은 2024-01-11 10:39:24.012 UTC로 기록되었습니다.
권장 사항
- 이 로그인 활동이 예상되는지 확인합니다.
- 작업이 예상되지 않는 경우 에 대한 사용자 자격 증명을 재설정합니다
user[@]domain.com
.
권장 사항을 검토한 후 MDR에게 작업 및 조사 결과를 알려주십시오. 추가 질문이나 우려 사항이 있는 경우 언제든지 저희에게 연락해 주십시오.