Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Estudos de caso de integração da Palo Alto

A equipe Sophos MDR encaminhou o seguinte caso da Palo Alto.

O caso

Em 7 de fevereiro, o MDR foi alertado sobre um XDR-palo-alto-Command-and-Control em seu patrimônio digital. Esses alertas foram gerados do host não gerenciado de tráfego de rede xx.x.xx.xxx para os IPs xx.xx.xxx.xxx e xxx.xxx.xx.xxx pela porta 53. O alerta é referente a uma detecção unactioned de Cobalt Strike C2. Mais investigação sobre o alerta descobriu que o IP xxx.xxx.xx.xxx é benigno, uma vez que ele resolve para redacted[.]co[.]nz, no entanto, o IP xx.xx.xxx.xxx é um IP malicioso conhecido e geograficamente localizado em Pequim, China. Investigamos processos, atividade da rede, arquivos e logs e não observamos atividades maliciosas dos hosts com IPs xx.x.xx.xxx e xx.x.xx.xxx. Também investigamos as áreas comuns de persistência, como shells reversos, itens de inicialização e processos com o conjunto de variáveis de ambiente LD_PRELOAD, e não observamos atividades maliciosas. Entre em contato conosco caso tenha dúvidas ou outras considerações. No momento, pedimos que siga as nossas recomendações listadas abaixo.

Recomendações

Bloqueie o IP malicioso xx.x.xx.xxx no perímetro da sua rede.