Traffic Logging / Traffic mit microsoft.com

Hallo Forengemeinde!

SG330, 4 Win-SRV, 250 Client-PCs


Unter "Logging & Reporting => Web Protection" sehe ich bei mir täglich mehrere GB an Traffic mit "microsoft.com", teilweise macht das die Hälfte des Gesamt-Traffics eines Tages aus. Wenn ich weiter rein klicke, sehe ich, dass (fast) jedes meiner Systeme Daten im Umfang einer 3-stelligen MB-Menge mit dieser Adresse austauscht, es ist also nicht ein System, das hier verrückt spielt sondern eher die Summe aller.

Verstehe ich es richtig, dass, weil der Traffic unter "Web Protection" geloged wird, er durch den Proxy der UTM gegangen sein muss und es sich NICHT um direkten IP-Traffic über z.B. eine Firewall-Richtlinie, die das ermöglichen würde, handelt?

Leider ist es mir nicht gelungen, die URLs der Gegenseite genauer herauszufinden, das Log zeigt immer nur lediglich "microsoft.com" und die Kategorie "Buisness" an.
In meinem "Daily Executive Report" sehe ich darüber hinaus noch, das der Traffic der Applikation "Windows Update" zugeordnet wird.
Wie kann ich aber näher an die Sache herankommen, um herauszufinden, was diese enorme Menge an Traffic genau ist?

Windows Update kann/darf es nämlich eigentlich nicht sein, denn wir betreiben einen WSUS.
Dual-Scan ist via GPO ebenfalls deaktiviert, es dürfte m.E. also in dieser Hinsicht kein Client mit MS "funken".

Auch was Telemetrie angeht, ist via GPO eigentlich ebenfalls alles abgeschaltet.

Mails werden bei uns lokal verarbeitet (Exchange on Premise), das kann es also auch nicht sein.

Ja, wir nutzen Teams, aber m.W. eher in geringem Umfang. Allerdings ist der Teams-Client auf JEDEM PC installiert.
Aber der verursacht doch nicht pro System so viel Traffic (3-stelligen MB-Menge), selbst wenn er gar nicht genutzt sondern vlt. nur gestartet ist, ODER?

Würde m.E. auch nicht zu der o.g. Applikations-Kategorie "Windows Update" passen.
Aber das ist vlt. nur eine doppeldeutige Zuordnung einer URL zu einer Kategorie, die Sophos vornimmt?

Wie ihr seht, bin ich recht ratlos...
Falls also jemand irgendeine Idee hat, was das ist und/oder wie ich dem auf die Schliche kommen könnte...

DANKE!!

TJ








Moved to UTM Forum
[edited by: Erick Jan at 9:07 AM (GMT -7) on 20 Sep 2024]
Parents
  • Guten Morgen,

    Updatet der WSUS alles an Microsoft Produkten? Wenn M365 Office Versionen verwendet werden, muss auch dies berücksichtigt werden. Sowie Teams Client updates, oder bei Audio/Video Meetings. kann einiges zustande kommen.

    So lange die Server nicht von den Client Netzten getrennt sind, wovon ich aber ausgehe, bei 250 Clients. Wird der Traffic durch die Firewall geroutet, jetzt muss man schauen, ist der verkehr von Netz zu Netz oder von netz zu WAN.

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • DANKE!

    Ja, der WSUS macht für alles die Updates, wir setzen derzeit noch Office 2016 ein...

    Meetings gibt es m.W. nur vereinzelt. Das sehe ich dann auch am Traffic, der ist dann an den jeweiligen Maschinen noch mal (deutlich) mehr.
    Hier habe ich jetzt aber eher so eine Art "Grundrauschen", leider mit 100MB pro PC bei 250 Clients...

    Der Teams-Client könnte es sein, s. oben, aber in der Datenmenge an (fast) jedem Tag?

    Netz-Segmentierung habe ich bislang nicht geschafft, Asche auf mein Haupt!
    Clients und Server sind also im selben Netz, demnach müsste der Traffic ja LAN Zu WAN sein, ODER?
    MANCHMAL habe ich ja aber auch den Verdacht, das das gesamt Logging der SG ziemlich übel ist und einen (sehr) falschen Eindruck vermittelt.
    Das z.B. interner Traffic als extern gewertet wird und anderes mehr usw.. Wie sind da Deine/Eure Erfahrungen?

Reply
  • DANKE!

    Ja, der WSUS macht für alles die Updates, wir setzen derzeit noch Office 2016 ein...

    Meetings gibt es m.W. nur vereinzelt. Das sehe ich dann auch am Traffic, der ist dann an den jeweiligen Maschinen noch mal (deutlich) mehr.
    Hier habe ich jetzt aber eher so eine Art "Grundrauschen", leider mit 100MB pro PC bei 250 Clients...

    Der Teams-Client könnte es sein, s. oben, aber in der Datenmenge an (fast) jedem Tag?

    Netz-Segmentierung habe ich bislang nicht geschafft, Asche auf mein Haupt!
    Clients und Server sind also im selben Netz, demnach müsste der Traffic ja LAN Zu WAN sein, ODER?
    MANCHMAL habe ich ja aber auch den Verdacht, das das gesamt Logging der SG ziemlich übel ist und einen (sehr) falschen Eindruck vermittelt.
    Das z.B. interner Traffic als extern gewertet wird und anderes mehr usw.. Wie sind da Deine/Eure Erfahrungen?

Children
  • Also bei 250 Clients abzüglich der Broadcast Adresse und der Router IP, hast du noch 3 IPs über für die Server, das ist Mutig! Slight smile
    (nimm mich manchmal nicht zu ernst Slight smile).

    Also dann handelt es sich um reinen ausgehenden Verkehr (WAN)! Solange die Server und Clients in einem Netz sind, ist es reiner Switch Traffic. Du wirst mich Sicherheit einige Clients haben die sich doch online Updates ziehen. Ich habe über 10 Jahre mit und gegen den WSUS gekämpft und über viele Jahre war er auch ein gute Begleiter, aber irgendwann wurde der mir zu Anstrengend. Wir Arbeiten mit einem Patch management System, wo der Server der die Update betreibt ein Repository hat und von da aus an alle Clients intern verteil, so das nur 1 mal herunter geladen wird.

    Ich weiß das nützt dir grade auch nicht viel die Aussage, aber ich möchte drauf hinaus, das mir der WSUS irgendwann nicht mehr Zuverlässig genug war.

    Hier aus der Ferne ist das auch schwer zu lösen, da gibt es ganz viele Faktoren warum es nun so sein kann.

    Sorry das ich keinen Besseren Rat habe, vielleicht  fällt einem anderen noch was ein.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Danke!

    Da hast Du, glaube ich, was missverstanden.
    Ich habe ein Class-B-Netz, also mehr als ausreichend IP-Adressen zur Verfügung, aber das Netz eben nicht segmentiert.

  • ahhhh Sub-Netze ok, ich war schon schwer verwundert! Aber in dem Fall ist es das gleiche, solange die Netze nicht durch die Sophos geroutet werden. Bleibt es reiner Switch verkehr, ich hätte die liebend gerne mehr geholfen, aber ohne das selber zu sichten und das Netz zu kennen, ist es recht schwierig. Disappointed

    LG

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!