检测工具和人工分析导致安全非事件

有效的管理检测与响应MDR实例

关键要点

最近的一例Sophos XOps案例展示了管理检测与响应MDR在工具之间互通时的高效性，同时分析师团队的监听能力也是不可或缺的。

在这一案例中，客户为一家大型私营电信公司。该公司采用了多种来自Sophos及其他供应商的安全系统，而Sophos MDR为这些系统提供了整合的可能。MDR不仅监控Sophos安全产品的警报数据，还整合了其他供应商的安全产品数据。正如我们随后看到的，MDR分析师能够利用从多个供应商获取的数据，分析客户环境中的发生情况。

在十月中旬的这起攻击中，攻击者伪装成一家大型欧洲金融服务公司。攻击者获取了多个特定部门的电子邮件地址，向客户发送了数百条仿钓鱼链接Spearphishing Links，SL消息，这些信息听起来颇具官方色彩，试图诱使收件人点击链接，并在恶意构建的网页上输入凭证或下载文件。SL是一种常见的仿钓鱼变种，MITRE ATTampCK将其列为技术T1566002。

在本案例中，电子邮件两个版本，内容相同声称收件人需要在邮件中指向的网站上进行身份验证，并表示由于未能按时完成此操作，收件人的安全功能已被禁用，直到点击邮件中的链接。客户的电子邮件设备标记了这两种可疑邮件，并修改了恶意链接以保护用户，并将118封修改后的邮件发送给用户，其中有两人点击了链接。

图 1：钓鱼尝试，外观和语气看上去十分官方

谷歌翻译的诱骗邮件英语版本的翻译为：