Estudos de caso de integração do Cisco Duo
A equipe do Sophos MDR encaminhou os seguintes casos de alertas da Cisco Duo.
Caso 1
O caso
Em 6 de fevereiro de 2024, a equipe MDR foi alertada sobre uma detecção XDR-duo-Account-Manipulation
em seu patrimônio digital, que foi disparada por user marked fraud
no autenticador multifator DUO. Isso foi associado ao usuário anadmin
e ocorreu em 2024-02-05 21:17:33 UTC. O IP do dispositivo que tentou acessar era 193.219.44[.]198
, que pertence à ISP Comcast Ltd, em Londres, Inglaterra. Essa solicitação de login foi gerada para tentativa de acesso ao aplicativo Office 365 Apps-Redacted-Ltd
. Como precaução, gostaríamos de confirmar se isso foi acidental ou se o usuário intencionalmente marcou isso como fraude, pois não realizou um login para solicitar MFA. Veja nossas recomendações abaixo e entre em contato conosco se você tem alguma dúvida ou preocupação.
Recomendações
- Confirme com a equipe MDR que a atividade descrita acima era esperada pelo usuário
anadmin
. - Se não for esperado, redefina as credenciais do usuário
anadmin
.
Resposta do cliente
Após esse escalonamento, o cliente respondeu que o usuário recebeu uma solicitação de autenticação da Duo em seu telefone, que não foi iniciada por ele. Assim, o usuário recusou a solicitação e disparou o alerta. Uma vez que essa não era uma autenticação esperada, a senha do usuário foi redefinida.
Caso 2
O caso
Em 11 de janeiro de 2024, a equipe do Sophos MDR recebeu um cluster de alertas de segurança da XDR-duo-Account-Manipulation
. O tipo de alerta com a pontuação de alerta mais alta é user_marked_fraud
mapeado sob a técnica MITRE ATTACK como Account Manipulation
. Observamos que a atividade foi actioned
(ação de alerta original: information) pelo controle de segurança de alerta. A investigação de MDR observou que o usuário user[@]domain.com
marcou uma solicitação da DUO como fraude. Verificamos o IP de origem xx.xxx.xx.xx
e não observamos quaisquer artefatos maliciosos. O OSINT no IP mostra que ele pertencem à Verizon Business, localizada em Nova York. A hora da atividade foi anotada como 2024-01-11 10:39:24.012 UTC.
Recomendações
- Confirme se a atividade de início de sessão é esperada.
- Se a atividade não for esperada, redefina as credenciais do usuário para
user[@]domain.com
.
Informe o MDR de suas ações e descobertas depois de rever nossas recomendações. Não hesite em contatar-nos com quaisquer outras questões ou preocupações.