Traffic Logging / Traffic mit microsoft.com

Hallo Forengemeinde!

SG330, 4 Win-SRV, 250 Client-PCs


Unter "Logging & Reporting => Web Protection" sehe ich bei mir täglich mehrere GB an Traffic mit "microsoft.com", teilweise macht das die Hälfte des Gesamt-Traffics eines Tages aus. Wenn ich weiter rein klicke, sehe ich, dass (fast) jedes meiner Systeme Daten im Umfang einer 3-stelligen MB-Menge mit dieser Adresse austauscht, es ist also nicht ein System, das hier verrückt spielt sondern eher die Summe aller.

Verstehe ich es richtig, dass, weil der Traffic unter "Web Protection" geloged wird, er durch den Proxy der UTM gegangen sein muss und es sich NICHT um direkten IP-Traffic über z.B. eine Firewall-Richtlinie, die das ermöglichen würde, handelt?

Leider ist es mir nicht gelungen, die URLs der Gegenseite genauer herauszufinden, das Log zeigt immer nur lediglich "microsoft.com" und die Kategorie "Buisness" an.
In meinem "Daily Executive Report" sehe ich darüber hinaus noch, das der Traffic der Applikation "Windows Update" zugeordnet wird.
Wie kann ich aber näher an die Sache herankommen, um herauszufinden, was diese enorme Menge an Traffic genau ist?

Windows Update kann/darf es nämlich eigentlich nicht sein, denn wir betreiben einen WSUS.
Dual-Scan ist via GPO ebenfalls deaktiviert, es dürfte m.E. also in dieser Hinsicht kein Client mit MS "funken".

Auch was Telemetrie angeht, ist via GPO eigentlich ebenfalls alles abgeschaltet.

Mails werden bei uns lokal verarbeitet (Exchange on Premise), das kann es also auch nicht sein.

Ja, wir nutzen Teams, aber m.W. eher in geringem Umfang. Allerdings ist der Teams-Client auf JEDEM PC installiert.
Aber der verursacht doch nicht pro System so viel Traffic (3-stelligen MB-Menge), selbst wenn er gar nicht genutzt sondern vlt. nur gestartet ist, ODER?

Würde m.E. auch nicht zu der o.g. Applikations-Kategorie "Windows Update" passen.
Aber das ist vlt. nur eine doppeldeutige Zuordnung einer URL zu einer Kategorie, die Sophos vornimmt?

Wie ihr seht, bin ich recht ratlos...
Falls also jemand irgendeine Idee hat, was das ist und/oder wie ich dem auf die Schliche kommen könnte...

DANKE!!

TJ








Moved to UTM Forum
[edited by: Erick Jan at 9:07 AM (GMT -7) on 20 Sep 2024]
Parents
  • Hallo,

    gehe ich recht in der Annahme, dass es sich um eine UTM/SG handelt? Das hier ist das Firewall/XGS-Forum.

    Bei der SG ist es tatsächlich so, dass der WebFilter parallel zum Regelwerk liegt . 

    Die Zuordnung (wenn denn eine gemacht wird) ist schon meist stimmig. WSUS ist also naheliegend.

    Ich glaube doch, dass die Clients irgendwelche Updates direkt herunterladen wollen und das häufig abbricht.

    Sind denn die Clients aktuell gepatcht? Fehlen Updates? Was sagt WSUS?

    Es könnte auch der Teams Client sein, welcher sich updaten will. Der ist ja aus pre-WSUS-Zeiten und versucht das bestimmt selber.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke!

    In der Tat eine SG, bin dann wohl ins falsche Forum gerutscht, SORRY! Kann das evtl. jemand verschieben?

    Was meinst Du mit "(...)dass der WebFilter parallel zum Regelwerk liegt"?

    Lt den Clients selbst und auch lt. WSUS sind alle Maschinen Up2Date.

    Der Teams-Client KÖNNTE es in der Tat sein. Es ist der "neue" Teams-Client und der updatet sich selbst.
    Aber ich kann mir nicht vorstellen, dass das pro Client so viele MB an (fast) jedem Tag sind?!

Reply
  • Danke!

    In der Tat eine SG, bin dann wohl ins falsche Forum gerutscht, SORRY! Kann das evtl. jemand verschieben?

    Was meinst Du mit "(...)dass der WebFilter parallel zum Regelwerk liegt"?

    Lt den Clients selbst und auch lt. WSUS sind alle Maschinen Up2Date.

    Der Teams-Client KÖNNTE es in der Tat sein. Es ist der "neue" Teams-Client und der updatet sich selbst.
    Aber ich kann mir nicht vorstellen, dass das pro Client so viele MB an (fast) jedem Tag sind?!

Children
  • (...)dass der WebFilter parallel zum Regelwerk liegt"?

    Sollte nur deine Annahme bestätigen. "dass der Traffic durch den Proxy der UTM gegangen sein muss und es sich NICHT um direkten IP-Traffic über z.B. eine Firewall-Richtlinie .. handelt

    Traffic, welche vom WebFilter behandelt wird, muss nicht mehr durch das Firewall-regelwerk.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.