Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 7432 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Meldung mygpuid.com

gkemter
Habe heute bei mehreren Firewalls Meldungen von AdvancedThreatProtection
weil jemand versucht hat mygpuid.com via DNS aufzulösen.
Da die internen Clients zuerst den Windows DC befragen, kriege ich nur meinen DC als Quelle.
Ich hoffe, es ist nur ein FalsePositive.

Falls einer der Entwickler von ATP mitliest:
man könnte so eine DNS Anfrage auch auf eine Firewall IP umleiten, um den Client mal rauszukriegen.


This thread was automatically locked due to age.
Parents
  • 0
    @K.N.

    ich sehe es genauso.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Falsch ist das nicht, aber nicht besonders hilfreich.
    Die meisten haben interne DNS Server, welche wiederum DNS von UTM befragen. Eine Meldung vom ATP , daß ein DomainController 4 mal mygpuid.com angefragt hat, bringt mich nicht weiter, ich weiss immer noch nicht welches Gerät es genau verursacht hat.
    Das könnte man aber im ATP eleganter lösen, so das brauchbare Informationen rauskommen, indem man mygpuid.com auf eine bestimmte Labor-IP von Sophos auflöst.
Reply
  • 0 in reply to maygyver
    Falsch ist das nicht, aber nicht besonders hilfreich.
    Die meisten haben interne DNS Server, welche wiederum DNS von UTM befragen. Eine Meldung vom ATP , daß ein DomainController 4 mal mygpuid.com angefragt hat, bringt mich nicht weiter, ich weiss immer noch nicht welches Gerät es genau verursacht hat.
    Das könnte man aber im ATP eleganter lösen, so das brauchbare Informationen rauskommen, indem man mygpuid.com auf eine bestimmte Labor-IP von Sophos auflöst.
Children
  • 0 in reply to gkemter
    Falsch ist das nicht, aber nicht besonders hilfreich.
    Die meisten haben interne DNS Server, welche wiederum DNS von UTM befragen. Eine Meldung vom ATP , daß ein DomainController 4 mal mygpuid.com angefragt hat, bringt mich nicht weiter, ich weiss immer noch nicht welches Gerät es genau verursacht hat.
    Das könnte man aber im ATP eleganter lösen, so das brauchbare Informationen rauskommen, indem man mygpuid.com auf eine bestimmte Labor-IP von Sophos auflöst.


    Kann ja eigentlich nur dein interner DNS-Server aka Domaincontroller wissen welcher Client genau jetzt den DNS-Query machte
    Schonmal im DNS-Server das Debugging aktiviert? Dann siehst du vllt mal mehr.

    Gruß
    Arne
Unfiltered HTML