This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM Welches Gerät schickt DROP Pakete ?

Hallo zusammen

Irgendein Gerät in unserem Netzwerk sendet verdammt viele Pakete, die durch die Firewall gedropt werden.

Nun ist es natürlich so, dass immer die IP-Adresse des DNS-Servers (AD) angezeigt wird. Ist es irgendwie möglich in den Log-Files herauszufinden, welcher PC hier anscheinend eine Schadsoftware installiert hat ?

VG



This thread was automatically locked due to age.
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to the Community!

    Could you please confirm if the UTM blocked the traffic? 

    In your case, the source is your AD, which generally indicates that a compromised device on your network is making DNS requests for the C&C server - in this instance, it’s much more challenging to track down the originating IP.

    If you scan the internal devices and find nothing that may cause this, you may find that the traffic was generated by a user clicking links on websites or opening files from emails - all these things can generate malicious traffic.

    Thanks,

  • Hallo

    Ja, die UTM hat den Datenverkehr blockiert.
    Durch den DNS-Server, der auf der AD liegt, läuft natürlich alles über die AD. Also ist es nicht möglich das Gerät herauszufinden, oder ?

    VG

  • Aber na klar ist das möglich, schalte direkt auf dem DNS Server einfach die DNS-Protokollierung an. Stichwort Debugprotokollierung