Cisco Duo集成案例研究
Sophos MDR團隊升級了以下Cisco Duo警報案例。
案例1.
案例
2024年2月6日,MDR團隊收到 XDR-duo-Account-Manipulation
您的資產中檢測到的警報,該檢測由 user marked fraud
Duo多因子身份驗證器觸發。這與用戶相關聯 anadmin
,發生在:17:UTC 2024年02-05 21 33月24日。嘗試訪問的設備的IP地址 193.219.44[.]198
屬於英國倫敦的ISP Comcast Ltd。此登錄請求是爲了嘗試訪問應用程序 Office 365 Apps-Redacted-Ltd
而生成的。作為預防措施,我們希望確認這是意外事件,還是用戶有意將其標記為欺詐,因為他們沒有登入請求MFA。請參閱下麵的建議,如果您有任何疑問或疑慮,請告知我們。
建議操作
- 與MDR團隊確認用戶預期執行上述活動
anadmin
。 - 如果不需要,請重置用戶的憑據
anadmin
。
客戶響應
在這次升級後,客戶回復說,用戶在其手機上收到了Duo身份驗證請求,但該請求不是由他發起的。因此,用戶拒絕了請求並觸發了警報。由於這不是預期的身份驗證,因此重置了用戶的密碼。
案例2
案例
2024年1月11日,Sophos MDR小組收到了來自的一組安全警報 XDR-duo-Account-Manipulation
。具有最高警報分數的警報類型在 user_marked_fraud
MITRE攻擊技術下映射為 Account Manipulation
。我們觀察到該活動 actioned
(原始警報動作:資訊)由警報安全控制進行。MDR調查發現用戶 user[@]domain.com
將Duo請求標記為欺詐。我們已經檢查了源IP xx.xxx.xx.xx
,沒有髮現任何惡意偽影。IP上的OSINT顯示它屬於位於紐約的Verizon Business。活動時間標示為:39:UTC 2024年01-11 10 24.012月30日。
建議操作
- 確認此登入活動是否符合預期。
- 如果活動不是預期的,請重置的用戶憑據
user[@]domain.com
。
請在審核我們的建議後將您的行動和發現告知MDR。如有任何其他問題或疑慮,請隨時與我們聯繫。