Hallo Community,
seit einigen Tagen bekommen wir über die ATP C2/Generic-A Meldungen. Die betroffenen Host seien die beiden DCs, doch ein Scan hat nichts gefunden. Es scheint mir, das unter den Zielen auch harmlose Anfragen verschickt werden, wie man im Screenshot sehen kann. Ich frage mich nur, wieso plötzlich diese als Gefahr eingestuft werden.
Im ATP-Dashboard werden mir folgende Host angezeigt, mit denen die DCs versuchen zu kommunizieren:
- dlg-configs-neu.cloudapp.net
- dlgconfigs.trafficmanager.net
- ds02.test-hf.su
Die ersten beiden gehören wohl zu Microsoft, während der letzte tatsächlich suspekt ist. Der Host wurde auch schon mehrfach gemeldet (https://www.abuseipdb.com/check/91.227.17.18). Daher möchte ich ungern irgendwelche Ausnahmen einrichten ohne zu wissen, was die Ursache hierfür ist. Stattdessen habe ich eine Firewall-Regel gebaut, die alle Dienste von DC zum jeweiligen DNS-Host verbieten soll aber so richtig scheint es nicht zu funktionieren, da ich weiterhin ATP-Meldungen bekomme.
Für jede Hilfe und jeden Tipp wäre ich sehr dankbar
Infos zur Firewall:
- Model: SG230
- Firmware-Version: 9.705-3
- Pattern-Version: 195690
This thread was automatically locked due to age.