Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Estudos de caso de integração do Cisco Duo

A equipe do Sophos MDR encaminhou os seguintes casos de alertas da Cisco Duo.

Caso 1

O caso

Em 6 de fevereiro de 2024, a equipe MDR foi alertada sobre uma detecção XDR-duo-Account-Manipulation em seu patrimônio digital, que foi disparada por user marked fraud no autenticador multifator DUO. Isso foi associado ao usuário anadmin e ocorreu em 2024-02-05 21:17:33 UTC. O IP do dispositivo que tentou acessar era 193.219.44[.]198, que pertence à ISP Comcast Ltd, em Londres, Inglaterra. Essa solicitação de login foi gerada para tentativa de acesso ao aplicativo Office 365 Apps-Redacted-Ltd. Como precaução, gostaríamos de confirmar se isso foi acidental ou se o usuário intencionalmente marcou isso como fraude, pois não realizou um login para solicitar MFA. Veja nossas recomendações abaixo e entre em contato conosco se você tem alguma dúvida ou preocupação.

Recomendações

  • Confirme com a equipe MDR que a atividade descrita acima era esperada pelo usuário anadmin.
  • Se não for esperado, redefina as credenciais do usuário anadmin.

Resposta do cliente

Após esse escalonamento, o cliente respondeu que o usuário recebeu uma solicitação de autenticação da Duo em seu telefone, que não foi iniciada por ele. Assim, o usuário recusou a solicitação e disparou o alerta. Uma vez que essa não era uma autenticação esperada, a senha do usuário foi redefinida.

Caso 2

O caso

Em 11 de janeiro de 2024, a equipe do Sophos MDR recebeu um cluster de alertas de segurança da XDR-duo-Account-Manipulation. O tipo de alerta com a pontuação de alerta mais alta é user_marked_fraud mapeado sob a técnica MITRE ATTACK como Account Manipulation. Observamos que a atividade foi actioned (ação de alerta original: information) pelo controle de segurança de alerta. A investigação de MDR observou que o usuário user[@]domain.com marcou uma solicitação da DUO como fraude. Verificamos o IP de origem xx.xxx.xx.xx e não observamos quaisquer artefatos maliciosos. O OSINT no IP mostra que ele pertencem à Verizon Business, localizada em Nova York. A hora da atividade foi anotada como 2024-01-11 10:39:24.012 UTC.

Recomendações

  • Confirme se a atividade de início de sessão é esperada.
  • Se a atividade não for esperada, redefina as credenciais do usuário para user[@]domain.com.

Informe o MDR de suas ações e descobertas depois de rever nossas recomendações. Não hesite em contatar-nos com quaisquer outras questões ou preocupações.