Palo Alto 통합 사례 연구
Sophos MDR 팀은 팔로 알토에 대해 다음 케이스를 에스컬레이션했습니다.
케이스
2월 7일, MDR이 XDR-palo-alto-Command-and-Control
귀하의 부동산에 있는 A에게 경고를 받았습니다. 이러한 경고는 관리되지 않는 네트워크 호스트에서 xx.x.xx.xxx
IP로 xx.xx.xxx.xxx
, 그리고 xxx.xxx.xx.xxx
포트 53을 통해 생성되었습니다. 이 알림은 동작이 없는 Cobalt Strike C2 감지에 대한 것입니다. 경고에 대한 추가 조사에 xxx.xxx.xx.xxx
redacted[.]co[.]nz
xx.xx.xxx.xxx
따르면 IP가 중국 베이징에 위치한 알려진 악성 IP인 것으로 확인되면서 양호한 것으로 나타났습니다. 우리는 프로세스, 네트워크 활동, 파일 및 로그를 조사하고 IP와 호스트에 대한 악의적인 활동을 관찰하지 않았다 xx.x.xx.xxx
xx.x.xx.xxx
. 또한 리버스 셸, 시작 항목, LD_PRELOAD 환경 변수 집합이 있는 프로세스 등 일반적인 지속성 영역을 조사했으며 악의적인 활동은 관찰하지 않았습니다. 추가 질문이나 우려 사항이 있는 경우 알려주십시오. 현재, 우리는 당신이 아래에 나열된 우리의 권장 사항을 따르십시오.
권장 사항
xx.x.xx.xxx
네트워크 경계에서 악성 IP를 차단합니다.