This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection

Hallo Community,

bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

  Benutzer/Host Bedrohungsname Ziel Ereignisse Ursprung  
1 xxx.xxx.xxx.xxx C2/Generic-A 185.7.214.104 1 Iptables C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde bedeuten, dass der Angriff von außen kam und blockert wurde.

Wie würdet ihr das deuten?



This thread was automatically locked due to age.
Parents
  • Hallo ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Basierend auf den freigegebenen Protokollen hat ATP eine „C2/Generic-A“-Erkennung gemeldet: Diese Erkennungswarnungen können auf Sophos Firewall oder UTM angezeigt werden, wenn das Advanced Threat Protection-Modul eine ausgehende Kommunikation mit erkennt ein bekannter C2-Server. In einigen Situationen markiert Sophos Web Protection möglicherweise auch eine C2/Generic-A-Warnung auf dem Endpoint, wenn ein Browser erkennt, der Datenverkehr zu einer URL mit hohem Risiko initiiert. Die Kommunikation wird auf der Firewall blockiert, und die angreifende(n) IP-Adresse(n) muss/müssen nach dem Vorbild einer aktiven Malware-Infektion isoliert und untersucht werden.

    Jetzt ist die ATP-Aktion standardmäßig Drop. Und UTM hat den Datenverkehr protokolliert, den wir in der von Ihnen freigegebenen packetfilter.log sehen.


    Ich würde Sie bitten, zu prüfen, ob die Aktion nur die Warnung ist oder auf Löschen eingestellt ist?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

Reply
  • Hallo ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Basierend auf den freigegebenen Protokollen hat ATP eine „C2/Generic-A“-Erkennung gemeldet: Diese Erkennungswarnungen können auf Sophos Firewall oder UTM angezeigt werden, wenn das Advanced Threat Protection-Modul eine ausgehende Kommunikation mit erkennt ein bekannter C2-Server. In einigen Situationen markiert Sophos Web Protection möglicherweise auch eine C2/Generic-A-Warnung auf dem Endpoint, wenn ein Browser erkennt, der Datenverkehr zu einer URL mit hohem Risiko initiiert. Die Kommunikation wird auf der Firewall blockiert, und die angreifende(n) IP-Adresse(n) muss/müssen nach dem Vorbild einer aktiven Malware-Infektion isoliert und untersucht werden.

    Jetzt ist die ATP-Aktion standardmäßig Drop. Und UTM hat den Datenverkehr protokolliert, den wir in der von Ihnen freigegebenen packetfilter.log sehen.


    Ich würde Sie bitten, zu prüfen, ob die Aktion nur die Warnung ist oder auf Löschen eingestellt ist?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

Children