This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection

Hallo Community,

bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

  Benutzer/Host Bedrohungsname Ziel Ereignisse Ursprung  
1 xxx.xxx.xxx.xxx C2/Generic-A 185.7.214.104 1 Iptables C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde bedeuten, dass der Angriff von außen kam und blockert wurde.

Wie würdet ihr das deuten?



This thread was automatically locked due to age.
Parents
  • Hallo TomE,

    die IP ist bei uns auch aufgeschlagen. Ich vermute ihr habt ein DNAT auf den internen Mailserver, das die IP angesprochen hat. Bei der Antwort (SYN-ACK) hat die ATP dann zugeschlagen deshalb scheint als Ziel die IP auf. Am besten du schaust direkt in das Log, dann siehst was der Auslöser war

    Logging & Reporting -> View Log Files -> Archived Log Files -> Advanced Threat Protection

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

Reply
  • Hallo TomE,

    die IP ist bei uns auch aufgeschlagen. Ich vermute ihr habt ein DNAT auf den internen Mailserver, das die IP angesprochen hat. Bei der Antwort (SYN-ACK) hat die ATP dann zugeschlagen deshalb scheint als Ziel die IP auf. Am besten du schaust direkt in das Log, dann siehst was der Auslöser war

    Logging & Reporting -> View Log Files -> Archived Log Files -> Advanced Threat Protection

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

Children
No Data