Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Replies 4 replies
  • Subscribers 11 subscribers
  • Views 843 views
  • Users 0 members are here
Options
Suggested

IPS Meldungen - SharePoint

KBH

Hallo zusammen,

seitdem 29.02. erhalten wir täglich mehrere IPS Meldungen:

Alert ID: 7002 "BROWSER-IE Microsoft Edge edgehtml.dll normalize missing div child use after free attempt"

Wenn man die IPs nachvollzieht, sind es immer Microsoft Domains (office) welche auf SharePoint referenzieren.

Am 29.02. hat sowohl Sophos neue IPS Pattern Updates released als auch Microsoft ein Update für den Edge.

Wir konnten inzwischen feststellen, dass die Meldungen unabhängig von der installierten Edge Version sind und keine User Interaktion erfordern.

Der Sophos Support geht von False Positives aus und verweist auf Microsoft.

Hat jemand ein Ähnliches Problem und eventuell einen Tipp?

Danke im Voraus!



Added TAGs
[edited by: Raphael Alganes at 3:40 AM (GMT -7) on 14 Mar 2024]
Parents
  • 0

    Du kannst explizit diesen False Positive aus der überwachung entfernen.

    1. Verbinde dich auf das Webinterface der Firewall
    2. Starte den Log viewer
    3. Im Dropdown Menu wähle IPS
    4. Dort findest du die Meldung mit der Signature ID. Diese bitte notieren
    5. Klick auf die Firewall rule nummer > Filter firewall rule
    6. Wenn du wieder auf das Webinterface schaust findest du die betroffene Rule
    7. Klick in die Rule und ganz unten steht unter Other security features "Detect and prevent exploits (IPS)
    8. Klick auf Dropdown, und bearbeite die aktuell angewante IPS Policy
    9. Klick auf Add > Klick auf SID filter > Gebe die signature ID aus schritt 4 ein > Apply
    10. Setze den Haken und wähle unten bei Action "Disable"
    11. Kopiere am besten noch den Namen von der markierten IPS und füge diesen unter Rule name ein

Reply
  • 0

    Du kannst explizit diesen False Positive aus der überwachung entfernen.

    1. Verbinde dich auf das Webinterface der Firewall
    2. Starte den Log viewer
    3. Im Dropdown Menu wähle IPS
    4. Dort findest du die Meldung mit der Signature ID. Diese bitte notieren
    5. Klick auf die Firewall rule nummer > Filter firewall rule
    6. Wenn du wieder auf das Webinterface schaust findest du die betroffene Rule
    7. Klick in die Rule und ganz unten steht unter Other security features "Detect and prevent exploits (IPS)
    8. Klick auf Dropdown, und bearbeite die aktuell angewante IPS Policy
    9. Klick auf Add > Klick auf SID filter > Gebe die signature ID aus schritt 4 ein > Apply
    10. Setze den Haken und wähle unten bei Action "Disable"
    11. Kopiere am besten noch den Namen von der markierten IPS und füge diesen unter Rule name ein

Children
Unfiltered HTML