Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 7430 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Meldung mygpuid.com

gkemter
Habe heute bei mehreren Firewalls Meldungen von AdvancedThreatProtection
weil jemand versucht hat mygpuid.com via DNS aufzulösen.
Da die internen Clients zuerst den Windows DC befragen, kriege ich nur meinen DC als Quelle.
Ich hoffe, es ist nur ein FalsePositive.

Falls einer der Entwickler von ATP mitliest:
man könnte so eine DNS Anfrage auch auf eine Firewall IP umleiten, um den Client mal rauszukriegen.


This thread was automatically locked due to age.
Parents
  • 0
    After further investigation I've discovered that if I manually enter problematic URL in my browser, my admin workstation is also listed as infected (log+scrshot):

    [FONT="Courier New"][SIZE="2"]2014:05:29-16:20:57 utm httpproxy[26035]: id="0068" severity="info" sys="SecureWeb" sub="http" name="web request blocked, threat detected" action="block" method="GET" srcip="192.168.1.1" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProContaLanNetwo (Korisnicka polisa)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2514" request="0xdfa0a880" url="mygpuid.com/.../FONT]

    So, I am now a little confused about the purpose of UTM 9.2 ATP functionality...[;)]
     
    For example, if I visit a web site with a HTML code redirection to a problematic URL, UTM will report that my workstation is infected ?
Reply
  • 0
    After further investigation I've discovered that if I manually enter problematic URL in my browser, my admin workstation is also listed as infected (log+scrshot):

    [FONT="Courier New"][SIZE="2"]2014:05:29-16:20:57 utm httpproxy[26035]: id="0068" severity="info" sys="SecureWeb" sub="http" name="web request blocked, threat detected" action="block" method="GET" srcip="192.168.1.1" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProContaLanNetwo (Korisnicka polisa)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2514" request="0xdfa0a880" url="mygpuid.com/.../FONT]

    So, I am now a little confused about the purpose of UTM 9.2 ATP functionality...[;)]
     
    For example, if I visit a web site with a HTML code redirection to a problematic URL, UTM will report that my workstation is infected ?
Children
No Data
Unfiltered HTML