Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 7401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Meldung mygpuid.com

gkemter
Habe heute bei mehreren Firewalls Meldungen von AdvancedThreatProtection
weil jemand versucht hat mygpuid.com via DNS aufzulösen.
Da die internen Clients zuerst den Windows DC befragen, kriege ich nur meinen DC als Quelle.
Ich hoffe, es ist nur ein FalsePositive.

Falls einer der Entwickler von ATP mitliest:
man könnte so eine DNS Anfrage auch auf eine Firewall IP umleiten, um den Client mal rauszukriegen.


This thread was automatically locked due to age.
Parents
  • 0
    Hmm....  Because this is an ATP DNS block that is forwarded from an internal DNS server you might have problems determining the real source.  I'm not a DNS guy so I don't know if there is a solution within there.

    Assuming for a moment that the adware is trying to communicate back to the control server using HTTP (which is common) and if you are running Web Filtering then you could turn off ATP for a while then look at your Web Filtering logs to find the request that was proxied through.  Once you've determined the source IP you can turn ATP back on.  This should be safe enough if the "infected" computer just had a PUA such as this, but you might not want to do it for a real virus infection.

    (Both forum hyperlink work for me. The only difference is that mine specifies page 2 of the thread.)
Reply
  • 0
    Hmm....  Because this is an ATP DNS block that is forwarded from an internal DNS server you might have problems determining the real source.  I'm not a DNS guy so I don't know if there is a solution within there.

    Assuming for a moment that the adware is trying to communicate back to the control server using HTTP (which is common) and if you are running Web Filtering then you could turn off ATP for a while then look at your Web Filtering logs to find the request that was proxied through.  Once you've determined the source IP you can turn ATP back on.  This should be safe enough if the "infected" computer just had a PUA such as this, but you might not want to do it for a real virus infection.

    (Both forum hyperlink work for me. The only difference is that mine specifies page 2 of the thread.)
Children
No Data
Unfiltered HTML