Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 4 replies
  • Subscribers 5 subscribers
  • Views 3186 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection ATP - Urpsung DNS - Host unbekannt

Albert B

Hallo Communitiy,

ich hoffe ihr könnt mir helfen. Seit einiger Zeit erhalten wir täglich mehrere tausend ATP Meldungen, die sicher aufgrund falscher Konfiguration zustande kommen. Haben ungefähr zum Einrichtungs Zeitpunkt eines neuen S2S VPN zu einem neuen Server angefangen. Ich komm aber nicht drauf, was genau die Ursache ist. Auch wenn ich die zwei S2S VPN`s vorübergehend deaktiviere, hören die Meldungen nicht auf.

Die gezeigten Benutzer/Hosts sind nicht bekannt.

atp ereignisse

Hier der DNS Proxy Log mit den obigen IP`S

Hier die DNS Settings



This thread was automatically locked due to age.
  • 0

    Das sieht mir nach einem aktiven Angriff aus. So arbeiten Angreifer! 

    Ich kann nur dringend empfehlen, Experten dazu zu ziehen.

    Beispielsweise: https://www.sophos.com/en-us/products/managed-detection-and-response/rapid-response

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Danke LuCar Toni. Da die Meldungen direkt mit den Umstellungen für den neuen S2S VPN angefangen hatten, dachte ich nicht an einen wirklichen Angriff. Ich hab fürs erste noch weitere Länder über Country Blocking komplett geblockt (laut Traceroute USA und Dänemark). Bisher kam kein weiterer Eintrag hinzu. Falls doch, wende ich mich an die Experten für solche Angriffe.

  • +1

    Ich hatte kontakt mit dem Support. Lag tatsächlich an falschen Settings in der Firewall.

    Unter erweiterter Schutz -> Advanced Threat Protection hatte ich Netzwerke hinzugefügt, die das ausgelöst haben. Hatte die Beschreibung missverstanden.

    Der Support meinte unter Netzwerk/Host Ausnahmen hier sollte eig. keine Internen Netzwerke eingefügt werden:

  • 0 in reply to Albert B

    Hallo Albert,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Thanks for taking the time to come back and contribute the solution to your problem

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML