Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 8 subscribers
  • Views 3948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection Ziel 34.102.222.207

Ol Go

Hallo zusammen,

wir bekommen seit gestern aus mitllerweilen 3 verschiedenen Lokationen sporadisch Advanced Threat Protection Meldungen einzelner Windows Rechner für die Ziel IP 34.102.222.207.

Laut Virustotal.com wird die IP als Malicious eingestuft.  Weitere uns bekannte Möglichkeiten zum Check der IP bringen keine auffälligen Rückmeldungen. Laut Auszug handelt es sich um eine Google Domain.

 

Da wir in der Vergangenheit viele "False Positiv" Meldungen hatten, hier die Frage ob ggf. bei anderen Installationen auch Meldungen mit der IP kamen?

Beste Grüße

OLG

 

 



This thread was automatically locked due to age.
Parents
  • 0

    Ich sehe die gleichen Meldungen bei verschiedenen Clients - allerdings nur bei einem Kunden.

    Wir untersuchen derzeit welche App das verursacht.

    Es als false positive bei einer IP mit bad reputation einzuordnen würde ich nicht empfehlen.

     

  • 0 in reply to Daniels_UTM

    i also identified this as ASK Toolbar.

     

    here ist ATP log snip

     

    2020:06:24-07:13:57 Firewall afcd[25200]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="172.16.1.5" dstip="192.168.247.203" fwrule="63001" proto="17" threatname="C2/Generic-A" status="1" host="34.102.222.207" url="-" action="drop"

    2020:06:24-07:13:58 Firewall named[6083]: rpz: client @0xbcaa6b0 172.16.7.11#50258 (anx.tb.ask.com): view default: rpz IP NXDOMAIN rewrite anx.tb.ask.com via 32.207.222.102.34.rpz-ip.rpz

  • 0 in reply to Daniels_UTM

    Gleiches Thema auch hier. ATP log sieht genauso aus.

Reply Children
No Data
Unfiltered HTML