Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Meldungen - SharePoint

Hallo zusammen,

seitdem 29.02. erhalten wir täglich mehrere IPS Meldungen:

Alert ID: 7002 "BROWSER-IE Microsoft Edge edgehtml.dll normalize missing div child use after free attempt"

Wenn man die IPs nachvollzieht, sind es immer Microsoft Domains (office) welche auf SharePoint referenzieren.

Am 29.02. hat sowohl Sophos neue IPS Pattern Updates released als auch Microsoft ein Update für den Edge.

Wir konnten inzwischen feststellen, dass die Meldungen unabhängig von der installierten Edge Version sind und keine User Interaktion erfordern.

Der Sophos Support geht von False Positives aus und verweist auf Microsoft.

Hat jemand ein Ähnliches Problem und eventuell einen Tipp?

Danke im Voraus!



This thread was automatically locked due to age.
  • Hallo,
    habe hier das gleiche Problem seit ca 2 Wochen.
    Kann es bestätigen, aber auch noch keine Lösung gefunden.

    Evtl. jemand anders noch das Problem?

    Gruß

  • Selbiges Problem in unserer Umgebung.

  • Du kannst explizit diesen False Positive aus der überwachung entfernen.

    1. Verbinde dich auf das Webinterface der Firewall
    2. Starte den Log viewer
    3. Im Dropdown Menu wähle IPS
    4. Dort findest du die Meldung mit der Signature ID. Diese bitte notieren
    5. Klick auf die Firewall rule nummer > Filter firewall rule
    6. Wenn du wieder auf das Webinterface schaust findest du die betroffene Rule
    7. Klick in die Rule und ganz unten steht unter Other security features "Detect and prevent exploits (IPS)
    8. Klick auf Dropdown, und bearbeite die aktuell angewante IPS Policy
    9. Klick auf Add > Klick auf SID filter > Gebe die signature ID aus schritt 4 ein > Apply
    10. Setze den Haken und wähle unten bei Action "Disable"
    11. Kopiere am besten noch den Namen von der markierten IPS und füge diesen unter Rule name ein

  • Hallo,
    sorry das ich erst so spät anworte.

    Hat geklappt, Danke für deine Hilfe.Thumbsup