跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Cisco Duo集成案例研究

Sophos MDR團隊升級了以下Cisco Duo警報案例。

案例1.

案例

2024年2月6日,MDR團隊收到 XDR-duo-Account-Manipulation 您的資產中檢測到的警報,該檢測由 user marked fraud Duo多因子身份驗證器觸發。這與用戶相關聯 anadmin ,發生在:17:UTC 2024年02-05 21 33月24日。嘗試訪問的設備的IP地址 193.219.44[.]198 屬於英國倫敦的ISP Comcast Ltd。此登錄請求是爲了嘗試訪問應用程序 Office 365 Apps-Redacted-Ltd而生成的。作為預防措施,我們希望確認這是意外事件,還是用戶有意將其標記為欺詐,因為他們沒有登入請求MFA。請參閱下麵的建議,如果您有任何疑問或疑慮,請告知我們。

建議操作

  • 與MDR團隊確認用戶預期執行上述活動 anadmin
  • 如果不需要,請重置用戶的憑據 anadmin

客戶響應

在這次升級後,客戶回復說,用戶在其手機上收到了Duo身份驗證請求,但該請求不是由他發起的。因此,用戶拒絕了請求並觸發了警報。由於這不是預期的身份驗證,因此重置了用戶的密碼。

案例2

案例

2024年1月11日,Sophos MDR小組收到了來自的一組安全警報 XDR-duo-Account-Manipulation。具有最高警報分數的警報類型在 user_marked_fraud MITRE攻擊技術下映射為 Account Manipulation。我們觀察到該活動 actioned (原始警報動作:資訊)由警報安全控制進行。MDR調查發現用戶 user[@]domain.com 將Duo請求標記為欺詐。我們已經檢查了源IP xx.xxx.xx.xx ,沒有髮現任何惡意偽影。IP上的OSINT顯示它屬於位於紐約的Verizon Business。活動時間標示為:39:UTC 2024年01-11 10 24.012月30日。

建議操作

  • 確認此登入活動是否符合預期。
  • 如果活動不是預期的,請重置的用戶憑據 user[@]domain.com

請在審核我們的建議後將您的行動和發現告知MDR。如有任何其他問題或疑慮,請隨時與我們聯繫。