Hallo zusammen,
meine aktuellen Erfahrungen mit der Sophos SG. Gestern massive Welle an Office Anhängen mit Verschlüsselungstrojaner.
Unser anderer Scanner auf dem Gateway erkannte den Trojaner bereits am 15.12. Sophos u. Avira Engine auf der SG210 erkannten ihn noch nicht mal 4 Tage später am 19.12!
Bezeichnung HEUR:Trojan-Downloader.Script.Generic
ein absolut BESCHEIDENES Ergebnis!
Was erwartest du? Hier wird sich niemand von Sophos melden. Das musst du schon über den Sophos-Support machen.
Was die Reaktionszeit anbelangt, war der letzte Kontakt mit dem Support (trotz "Premium-Support"),
eher eine Katastrophe. Was an dem "Premium-Support" premium sein soll, konnte ich jedenfalls nicht erkennen.
habe bisher immer noch keine Aussage vom Support, der support ist eine Katastrophe, Ransomware rutscht immer noch fröhlich an der FW vorbei. Wir haben den normalen Support welcher auch keineswegs günstig ist. Der IT Zwischenhändler wird dann sicherlich auch noch eine Rechnung für die Vermittlung ausstellen.
Denke mittlerweile daran die Sophos abzulösen.
Hallo,
bitten Sie doch ihren Sophos-Partner noch mal dort anzurufen.
Dann geht es stellenweise ziemlich schnell.
Wie ist denn die Diagnose vom Partner? Eine "geht nicht" Diagnose wird gerne mal später bearbeitet.
Ein paar Fragen ...
Die Mails sind im log des Mail-Managers auch zu sehen?
Die Option "Quarantine unscannable and encrypted content" ist aktiviert?
Was ist denn beim "anderer Scanner auf dem Gateway" der andere Scanner und was für ein Gateway ist im Einsatz?
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
>habe bisher immer noch keine Aussage vom Support, der support ist eine Katastrophe
ja
>Ransomware rutscht immer noch fröhlich an der FW vorbei
ja - die Scan-Engines hätte man lieber von Kaspersky eingekauft, als so etwas Zweitklassiges.
>Wir haben den normalen Support welcher auch keineswegs günstig ist.
ja.
>Der IT Zwischenhändler wird dann sicherlich auch noch eine Rechnung für die Vermittlung ausstellen.
ja. Beim letzten mal WLAN-Probleme hat unser Dienstleister 270€ verlangt. Das Problem war final immer noch nicht gelöst. Habe mir dann einen AP15 selbst gekauft (statt vorhandenem AP10) damit ging es dann wieder.
>Denke mittlerweile daran die Sophos abzulösen.
Da bist Du nicht der Einzige - aber wahrscheinlich gibt es da wenige brauchbare Alternativen...
Grüße
Feedback: Alles richtig konfiguriert laut Sophos support. Die Viren werden einfach nicht als Virus erkannt... keine Lösung
und weiter rutschen fröhlich die Trojaner am zweifachscan vorbei.......
HEUR:Trojan-Dropper.Script.SDrop.gen Virenerkennung bei Sophos ist eine Katastrophe
Für solche Art Schadsoftware ist eigentlich Sophos Sandstorm implementiert worden. Vermutlich habt ihr das nicht aktiv? Am besten mal beim Sophos Partner nach einer 30 Tage Testlizenz mit Sophos Sandstorm anfragen und dieses Feature mal ausprobieren und dann bei Bedarf eure richtige Lizenz damit erweitern.
Alternativ lassen sich im E-Mail Bereich sowohl Datei-Anhänge als auch per MIME-Type Filter Mail-Anhänge aussortieren...
Als Beispiel ein paar sinnvolle MIME-Types:
application/msexcel
application/msword
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
application/vnd.openxmlformats-officedocument.wordprocessingml.document
application/vnd.ms-excel
application/vnd.ms-word
application/vnd.ms-word.document.macroEnabled.12
application/vnd.ms-word.template.macroEnabled.12
application/vnd.ms-excel.sheet.macroEnabled.12
application/vnd.ms-excel.template.macroEnabled.12
application/vnd.ms-excel.addin.macroEnabled.12
application/vnd.ms-excel.sheet.binary.macroEnabled.12
application/vnd.ms-powerpoint.addin.macroEnabled.12
application/vnd.ms-powerpoint.presentation.macroEnabled.12
application/vnd.ms-powerpoint.template.macroEnabled.12
application/vnd.ms-powerpoint.slideshow.macroEnabled.12
application/vnd.ms-powerpoint.slide.macroEnabled.12
application/zip
application/x-rar-compressed
application/x-7z-compressed
Gruß Steve
Hallo Steve, heute hatte ich sogar den Fall, dass ein .jar Trojaner durchgekommen ist. Von Excel Macros will ich erst gar nicht sprechen.
Ich habe folgende Dateiendungen nun angepasst u. blockiert unter File Extention Filter. Eingegeben ohne führenden Punkt.
Anbei meine blockierten Dateiendungen, falls noch jemanden etwas sinvolles einfällt (außer Macro u. Office Dokumente) bitte ergänzen.
Wie kann ich die Dateitypen noch in der Mimefilterung darüber einbinden? Danke
asf
bas
bat
chm
cmd
com
cpl
crt
eml
folder
hlp
hta
inf
ins
isp
jsp
mde
msc
msp
mst
nws
pl
scf
scr
sct
shs
vb
vbe
vcd
ws
wsc
wsf
wsh
js
jar
pif
vbs
ps1
Für Dateiendungen ggf. noch .doc, .docm,.xls, xlsm u.a. Office-Dateien...
Für die MIME-Types siehe mein vorheriges Post, da habe ich einige Beispiele aufgezählt.
Und teste auf jeden Fall mal das Sandstorm, dann sollte es relativ ruhig werden...
Gruß Steve
Guten Morgen Steve, habe jetzt noch die 3 Mime Types hinzugefügt
application/javascript
application/json
text/javascript
ist Sandstorm mittlerweile wirklich besser?????
Kann bisher nichts Negatives berichten. Zumindest die neuartige Schadsoftware wird ganz gut aussortiert. Es ist genau für solche Bedrohungen gedacht, weil da normale signaturbasierende Virenschutzlösungen bei der Dynamik der Schadsoftware (nachladen von Code...) eher schlecht und unzuverlässig arbeiten.
Ich kann dir auch eine Testlizenz inkl. Sandstorm ausstellen und du probierst es selber aus -> per PM melden und mir dein SG Model mitteilen.
Im Bereich von E-Mail ist es auch wichtig, seine DNS-Einträge v.a. SPF-Record ordentlich zu pflegen, damit fliegt auch schon ziemlich viel Mist raus...
Gruß Steve
Kann bisher nichts Negatives berichten. Zumindest die neuartige Schadsoftware wird ganz gut aussortiert. Es ist genau für solche Bedrohungen gedacht, weil da normale signaturbasierende Virenschutzlösungen bei der Dynamik der Schadsoftware (nachladen von Code...) eher schlecht und unzuverlässig arbeiten.
Ich kann dir auch eine Testlizenz inkl. Sandstorm ausstellen und du probierst es selber aus -> per PM melden und mir dein SG Model mitteilen.
Im Bereich von E-Mail ist es auch wichtig, seine DNS-Einträge v.a. SPF-Record ordentlich zu pflegen, damit fliegt auch schon ziemlich viel Mist raus...
Gruß Steve
