Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=darktrace-cases

Estudos de caso de integração da Darktrace

Coletor de log Rede

Este é um caso gerado por um alerta de integração da Darktrace.

O caso

Em 26 de fevereiro de 2024, a equipe do Sophos MDR recebeu um cluster de alertas de segurança de XDR-darktrace-Command-and-Control. O tipo de alerta com a pontuação de alerta mais alta é 4 mapeado sob a técnica MITRE ATTACK como Command and Control. Observamos que a categoria da atividade foi unactioned pelo controle de segurança de alerta. Na investigação, a equipe MDR observou que a detecção foi alertada no sistema de origem DarkTrace associado ao dispositivo redacted devido a tentativas de conexão dos endereços IP xxx.xx.xx.xxx com o assunto ICS/Rare External from OT Device. Ao investigar conexões de soquete abertas históricas, viu-se que há uma conexão de soquete aberta para o IP xxx.xx.xx.xxx do host redacted. Ações adicionais são necessárias. Veja nossas recomendações abaixo.

Recomendações

  1. Confirme se a tentativa de conexão do IP mencionado era esperada.
  2. Bloqueie o IP no perímetro da sua rede, se aplicável.

Informe o MDR de suas ações e descobertas depois de rever nossas recomendações. Não hesite em contatar-nos com quaisquer outras questões ou preocupações.