Traffic Logging / Traffic mit microsoft.com

Hallo Forengemeinde!

SG330, 4 Win-SRV, 250 Client-PCs


Unter "Logging & Reporting => Web Protection" sehe ich bei mir täglich mehrere GB an Traffic mit "microsoft.com", teilweise macht das die Hälfte des Gesamt-Traffics eines Tages aus. Wenn ich weiter rein klicke, sehe ich, dass (fast) jedes meiner Systeme Daten im Umfang einer 3-stelligen MB-Menge mit dieser Adresse austauscht, es ist also nicht ein System, das hier verrückt spielt sondern eher die Summe aller.

Verstehe ich es richtig, dass, weil der Traffic unter "Web Protection" geloged wird, er durch den Proxy der UTM gegangen sein muss und es sich NICHT um direkten IP-Traffic über z.B. eine Firewall-Richtlinie, die das ermöglichen würde, handelt?

Leider ist es mir nicht gelungen, die URLs der Gegenseite genauer herauszufinden, das Log zeigt immer nur lediglich "microsoft.com" und die Kategorie "Buisness" an.
In meinem "Daily Executive Report" sehe ich darüber hinaus noch, das der Traffic der Applikation "Windows Update" zugeordnet wird.
Wie kann ich aber näher an die Sache herankommen, um herauszufinden, was diese enorme Menge an Traffic genau ist?

Windows Update kann/darf es nämlich eigentlich nicht sein, denn wir betreiben einen WSUS.
Dual-Scan ist via GPO ebenfalls deaktiviert, es dürfte m.E. also in dieser Hinsicht kein Client mit MS "funken".

Auch was Telemetrie angeht, ist via GPO eigentlich ebenfalls alles abgeschaltet.

Mails werden bei uns lokal verarbeitet (Exchange on Premise), das kann es also auch nicht sein.

Ja, wir nutzen Teams, aber m.W. eher in geringem Umfang. Allerdings ist der Teams-Client auf JEDEM PC installiert.
Aber der verursacht doch nicht pro System so viel Traffic (3-stelligen MB-Menge), selbst wenn er gar nicht genutzt sondern vlt. nur gestartet ist, ODER?

Würde m.E. auch nicht zu der o.g. Applikations-Kategorie "Windows Update" passen.
Aber das ist vlt. nur eine doppeldeutige Zuordnung einer URL zu einer Kategorie, die Sophos vornimmt?

Wie ihr seht, bin ich recht ratlos...
Falls also jemand irgendeine Idee hat, was das ist und/oder wie ich dem auf die Schliche kommen könnte...

DANKE!!

TJ








Moved to UTM Forum
[edited by: Erick Jan at 9:07 AM (GMT -7) on 20 Sep 2024]