Veeam集成案例研究
案例
Sophos MDR團隊從源系統Veeam收到了一組安全警報。具有最高警示分數的警示類型會 GlobalMfaDisabled
對應在MITRE攻擊技術下,作為防禦規避。由於受影響的設備由MDR管理,因此我們根據分析的警報資訊(如實體和屬性)利用來自XDR的遙測來審核群集。我們觀察到這種活動是 unactioned
通過警報安全控制。根據我們的審查,該警報是由於禁用了多因素身份驗證 VEEAM-user
。MDR小組查看了主機上的登錄事件 VEEAM-host
,並觀察到的幾次成功登錄 user
。此時請查看我們的以下建議。
建議操作
- 確認用戶是否
user
需要禁用MFA。 - 如果出現意外情況,請禁用用戶
user
並向MDR報告,以便我們可以繼續調查。
請在審核我們的建議後將您的行動和發現告知MDR。如有任何其他問題或疑慮,請隨時與我們聯繫。