주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Google Workspace 통합 사례 연구

Sophos MDR 팀은 Google Workspace 감지를 위해 다음과 같은 사례를 에스컬레이션했습니다.

케이스

2023년 10월 9일, Sophos는 XDR-google-workspace-Valid-Accounts marta@redacted.uk 의심스러운 활동을 보이는 내부 실체로 인해 감지에 대한 경고를 받았으며, 이로 인해 계정이 일시 중단되었습니다. 이 감지는 더 높은 수준의 권한을 얻으려는 공격자의 가능한 활동을 트리거합니다. 권한 에스컬레이션은 공격자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻기 위해 사용하는 기술로 구성됩니다. 공격자는 액세스 권한이 없는 네트워크에 침입하고 탐색할 수 있지만 목표를 달성하기 위해 높은 권한이 필요한 경우가 많습니다. 일반적인 접근 방식은 시스템의 약점, 잘못된 구성 및 취약점을 이용하는 것입니다. 높은 수준의 액세스에는 다음이 포함됩니다. * 시스템/루트 레벨 * 로컬 관리자 * 관리자와 유사한 액세스 권한이 있는 사용자 계정 * 특정 시스템에 대한 액세스 권한이 있거나 특정 기능을 수행할 수 있는 사용자 계정 이러한 기술은 상향된 컨텍스트에서 적을 유지할 수 있는 OS 기능이 실행될 수 있으므로 Persistence 기술과 겹치는 경우가 많습니다. 추가 검토 후, 우리는이 케이스를 앞으로 나아갈 권장 사항을 제공했습니다.

권장 사항

  • 최종 사용자의 로그인 활동을 marta@redacted.uk확인합니다.
  • 최종 사용자 암호를 변경합니다.
  • MDR에게 모든 결과 및 작업를 통보합니다.

고객 응답

안녕하세요 Jay, 최신 정보를 유지하기 위해 사용자의 계정이 Darktrace SaaS에 의해 자동 일시 중단되었습니다. 사용자의 암호를 재설정하고 AD 계정도 추가로 비활성화했습니다. 내부 조사를 통해 Meta의 내부 직장에서 프로필이 비활성화된 경우 이 사용자가 더 이상 회사에 근무하지 않을 수 있다고 의심하지만, 해당 사용자를 위해 HR 또는 서비스 데스크에서 퇴사 요청을 찾을 수 없습니다.

내부적으로 계속 조사할 것이며 추가 정보가 피드백을 받는 대로 알려 드리겠습니다.