Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 7424 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Meldung mygpuid.com

gkemter
Habe heute bei mehreren Firewalls Meldungen von AdvancedThreatProtection
weil jemand versucht hat mygpuid.com via DNS aufzulösen.
Da die internen Clients zuerst den Windows DC befragen, kriege ich nur meinen DC als Quelle.
Ich hoffe, es ist nur ein FalsePositive.

Falls einer der Entwickler von ATP mitliest:
man könnte so eine DNS Anfrage auch auf eine Firewall IP umleiten, um den Client mal rauszukriegen.


This thread was automatically locked due to age.
Parents
  • 0
    I am seeing this as well (same host lookup).  This is the first alert I have seen from the ATP since upgrading to the first 9 series starting with the first beta.

    It would be useful if more information is available from the ATP, as you note it is only the DC doing a DNS lookup (for me 3 instances only, not 100's).  If the location is identified as being associated with Malware then fuller information on the ports/payload type of malware would help identifying the culprit workstation.
Reply
  • 0
    I am seeing this as well (same host lookup).  This is the first alert I have seen from the ATP since upgrading to the first 9 series starting with the first beta.

    It would be useful if more information is available from the ATP, as you note it is only the DC doing a DNS lookup (for me 3 instances only, not 100's).  If the location is identified as being associated with Malware then fuller information on the ports/payload type of malware would help identifying the culprit workstation.
Children
No Data
Unfiltered HTML