Google Workspace集成案例研究
Sophos MDR團隊為Google工作空間檢測升級了以下案例。
案例
2023年10月9日, XDR-google-workspace-Valid-Accounts
由於內部實體 marta@redacted.uk
顯示可疑活動,導致該賬戶被暫停,Sophos因被檢測而收到警報。這種檢測會觸發試圖獲取更高級別權限的對手可能的活動。特權提昇由對手用來獲取系統或網路上更高級別權限的技術組成。攻擊者通常可以進入和探索沒有存取權限的網路,但是他們還需要提升權限才能實現目標。常見方法是利用系統漏洞、設定錯誤和弱點。提升存取權限的範例包括:*系統/根級別*本地管理員*具有類似管理員訪問權限的用戶帳戶*具有特定系統訪問權限或執行特定功能的用戶帳戶這些技術通常與持久性技術重疊,因為允許對手持久性的操作系統功能可以在提昇的上下文中執行。經過進一步檢討後,我們已就此事提出建議。
建議操作
- 驗證最終用戶的登錄活動
marta@redacted.uk
。 - 更改最終用戶密碼。
- 將所有發現和操作通知MDR。
客戶響應
您好,Jay,Darktrace SaaS已自動暫停使用者的帳戶,讓您隨時掌握最新資訊。我已重設使用者的密碼,並進一步停用他們的廣告帳戶。根據內部調查,我懷疑此用戶可能不再為公司工作,因為Meta在我們的內部Workplace中已停用了個人資料,但我無法從我們的HR或服務台找到任何離職者請求。
我們將繼續進行內部調查,並在收到更多資訊反饋後立即通知您。