Palo Alto集成案例研究
Sophos MDR團隊升級了Palo Alto的以下案例。
案例
2月7日,MDR收到 XDR-palo-alto-Command-and-Control
您的房地產中的A警報。這些警報是從未受管理的網路流量主機 xx.x.xx.xxx
到IP xx.xx.xxx.xxx
以及 xxx.xxx.xx.xxx
埠53生成的。此警報用於未操作的Cobalt Strike C2檢測。對警報的進一步調查發現,IP xxx.xxx.xx.xxx
redacted[.]co[.]nz
xx.xx.xxx.xxx
是良性的,因為它解析為IP,但是IP是位於中國北京的已知惡意IP地理位置。我們調查了進程,網路活動,文件和日誌,並未發現具有IP xx.x.xx.xxx
和 xx.x.xx.xxx
的主機的惡意活動。我們還調查了它們的常見持久性區域,例如反向shell,啟動項,設定了LD_PRELOAD環境變量的進程,並且沒有觀察到惡意活動。如果您有任何其他問題或疑慮,請告知我們。此時,我們請您遵循以下建議。
建議操作
xx.x.xx.xxx
在網路周邊封鎖惡意IP。