Traffic Logging / Traffic mit microsoft.com

Hallo Forengemeinde!

SG330, 4 Win-SRV, 250 Client-PCs


Unter "Logging & Reporting => Web Protection" sehe ich bei mir täglich mehrere GB an Traffic mit "microsoft.com", teilweise macht das die Hälfte des Gesamt-Traffics eines Tages aus. Wenn ich weiter rein klicke, sehe ich, dass (fast) jedes meiner Systeme Daten im Umfang einer 3-stelligen MB-Menge mit dieser Adresse austauscht, es ist also nicht ein System, das hier verrückt spielt sondern eher die Summe aller.

Verstehe ich es richtig, dass, weil der Traffic unter "Web Protection" geloged wird, er durch den Proxy der UTM gegangen sein muss und es sich NICHT um direkten IP-Traffic über z.B. eine Firewall-Richtlinie, die das ermöglichen würde, handelt?

Leider ist es mir nicht gelungen, die URLs der Gegenseite genauer herauszufinden, das Log zeigt immer nur lediglich "microsoft.com" und die Kategorie "Buisness" an.
In meinem "Daily Executive Report" sehe ich darüber hinaus noch, das der Traffic der Applikation "Windows Update" zugeordnet wird.
Wie kann ich aber näher an die Sache herankommen, um herauszufinden, was diese enorme Menge an Traffic genau ist?

Windows Update kann/darf es nämlich eigentlich nicht sein, denn wir betreiben einen WSUS.
Dual-Scan ist via GPO ebenfalls deaktiviert, es dürfte m.E. also in dieser Hinsicht kein Client mit MS "funken".

Auch was Telemetrie angeht, ist via GPO eigentlich ebenfalls alles abgeschaltet.

Mails werden bei uns lokal verarbeitet (Exchange on Premise), das kann es also auch nicht sein.

Ja, wir nutzen Teams, aber m.W. eher in geringem Umfang. Allerdings ist der Teams-Client auf JEDEM PC installiert.
Aber der verursacht doch nicht pro System so viel Traffic (3-stelligen MB-Menge), selbst wenn er gar nicht genutzt sondern vlt. nur gestartet ist, ODER?

Würde m.E. auch nicht zu der o.g. Applikations-Kategorie "Windows Update" passen.
Aber das ist vlt. nur eine doppeldeutige Zuordnung einer URL zu einer Kategorie, die Sophos vornimmt?

Wie ihr seht, bin ich recht ratlos...
Falls also jemand irgendeine Idee hat, was das ist und/oder wie ich dem auf die Schliche kommen könnte...

DANKE!!

TJ








Moved to UTM Forum
[edited by: Erick Jan at 9:07 AM (GMT -7) on 20 Sep 2024]
Parents
  • Hallo Forengemeinde!

    Ich bin noch immer auf der Suche nach der Ursache meines Traffics.

    Aktuell scheint es so, als hat es sehr damit zu tun, wie viele User angemeldet sind.
    Klingt trivial, aber bei ~275 dauerhaft eingeschalteten PC-Systemen habe ich insgesamt erheblich viel mehr Traffic mit microsoft.com wenn an vielen dieser PCs User angemeldet sind. Stehen die meisten der PCs hingegen in de Anmeldemaskte, also ohne angemeldeten User, ist das Trafficaufkommen insgesamt (erheblich) kleiner.

    WENN es die Windows-Updates wären, dürfte eine Benutzeranmeldung aber doch keine Rolle spielen, der Dienst läuft doch so oder so, ODER?

    Kann es sein, dass der Edge-Browser, wenn er genutzt wird, den Traffic verursacht?
    Der SmartScreen-Filter würde mir da z.B. einfallen. Wird da jede eingegebene URL zu MS gesendet und auf "boshaftigkeit" überprüft?

    DANKE!

    TJ

  • Bei mir sind die O365 / Teams - Nutzer die Hauptverursacher der "microsoft.com" Verbindungen.
    Aber auch nicht angemeldete PC's rufen die Seite gelegentlich auf. 
    Evtl. ja auch die neue Variante, wie MS bei "neuen Produkten" Updates macht, nachdem WSUS stillgelegt wird. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke!

    "auch nicht angemeldete PC's rufen die Seite gelegentlich auf"

    Das scheint bei mir auch der Fall zu sein, verstehe ich aber nicht.

    Siehe: Frage zu Logging and Reporting

Reply Children
No Data