Advanced Threat Protection

Question

Hallo Community, 
 bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

Benutzer/Host 
 Bedrohungsname 
 Ziel 
 Ereignisse 
 Ursprung

1 
 xxx.xxx.xxx.xxx 
 C2/Generic-A 
 185.7.214.104 
 1 
 Iptables 
 C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":" "threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42 
 Nun bin ich nat&uuml;rlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan l&auml;uft noch, hat aber bisher keinen Fund gemeldet. 
 Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam. 
 Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source: 
 2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN" 
 Das wiederum w&uuml;rde bedeuten, dass der Angriff von au&szlig;en kam und blockert wurde. 
 Wie w&uuml;rdet ihr das deuten?

Vivek Jagad · Answer

Hallo TomE , 
 Vielen Dank, dass Sie sich an die Community gewandt haben. Basierend auf den freigegebenen Protokollen hat ATP eine &bdquo;C2/Generic-A&ldquo;-Erkennung gemeldet: Diese Erkennungswarnungen k&ouml;nnen auf Sophos Firewall oder UTM angezeigt werden, wenn das Advanced Threat Protection-Modul eine ausgehende Kommunikation mit erkennt ein bekannter C2-Server. In einigen Situationen markiert Sophos Web Protection m&ouml;glicherweise auch eine C2/Generic-A-Warnung auf dem Endpoint, wenn ein Browser erkennt, der Datenverkehr zu einer URL mit hohem Risiko initiiert. Die Kommunikation wird auf der Firewall blockiert, und die angreifende(n) IP-Adresse(n) muss/m&uuml;ssen nach dem Vorbild einer aktiven Malware-Infektion isoliert und untersucht werden. 
 Jetzt ist die ATP-Aktion standardm&auml;&szlig;ig Drop. Und UTM hat den Datenverkehr protokolliert, den wir in der von Ihnen freigegebenen packetfilter.log sehen. Ich w&uuml;rde Sie bitten, zu pr&uuml;fen, ob die Aktion nur die Warnung ist oder auf L&ouml;schen eingestellt ist?

	Benutzer/Host	Bedrohungsname	Ziel	Ereignisse	Ursprung
1	xxx.xxx.xxx.xxx	C2/Generic-A	185.7.214.104	1	Iptables	C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">