Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=veeam-cases

Estudos de caso de integração da Veeam

Coletor de log Backup e recuperação

O caso

A equipe Sophos MDR recebeu um cluster de alertas de segurança do sistema de origem da Veeam. O tipo de alerta com a maior pontuação de alerta é GlobalMfaDisabled, que é mapeado sob a técnica de MITRE ATTACK como evasão de defesa. Como o dispositivo afetado é gerenciado pelo MDR, revisamos o cluster aproveitando a telemetria do XDR com base nas informações de alerta analisadas, como entidades e atributos. Observamos que a atividade foi unactioned pelo controle de segurança de alerta. A partir de nossa revisão, observamos que o alerta foi devido à autenticação multifator ter sido desabilitada por VEEAM-user. A equipe MDR analisou os eventos de login no host VEEAM-host e observou vários logins bem-sucedidos de user. No momento, veja nossas recomendações abaixo.

Recomendações

  • Confirme se o usuário user tem direito de desativar a MFA.
  • Se não tiver, desative o usuário user e informe o MDR para que possamos continuar nossa investigação.

Informe o MDR de suas ações e descobertas depois de rever nossas recomendações. Não hesite em contatar-nos com quaisquer outras questões ou preocupações.