This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection lists the dns server instead of the client

When a client tries to connect to a domain which is on the blacklist for command-and-control, he first starts a DNS query to our internal DNS Server. The DNS Server then starts his own query (in our environment directly to the DNS Server from the ISP). So this traffic is between the two DNS Servers, but because the domain name and the IP of the command-and-control server are in the traffic the query and the response the UTM generates the alert and lists our internal DNS server as infected host (a few pictures can be found here, sorry it’s in german)

In my opinion, it would be better to generate the alert and stop the connection in the next step, when the client REALLY tries to connect to the server and not during the DNS request to another DNS Server. Then the client would be the infected host in the logs. I had to enable DNS logs on the server to identify the affected host.  

I am not sure if my considerations are right. If yes it would be a bug (the dns query without connecting to the command-and-control server shouldn’t generate an alert). Thanks for any help.


This thread was automatically locked due to age.
Parents
  • Your suggestion makes sense. Can you get that reported to Support as a bug?


    Thanks, Bob. I've sent an email to Sophos Support. 

    then this is a regression because ATP used to log the dns entires IF it was a dns related alert. It otherwise only logs the ips of the offending parties. 


    William, maybe the best way would be, if ATP would generate a log entry but not block the connection from DNS Server to DNS Server, because there's no traffic to a command-and-control server involved. So the client would get an answer for his DNS query and would then try to connect to the command-and-control server IP. This time ATP should block the connection and should log the involved client, because this time it is traffic to a command-and-control server and the log would show the infected client and not the not infected DNS server.
Reply
  • Your suggestion makes sense. Can you get that reported to Support as a bug?


    Thanks, Bob. I've sent an email to Sophos Support. 

    then this is a regression because ATP used to log the dns entires IF it was a dns related alert. It otherwise only logs the ips of the offending parties. 


    William, maybe the best way would be, if ATP would generate a log entry but not block the connection from DNS Server to DNS Server, because there's no traffic to a command-and-control server involved. So the client would get an answer for his DNS query and would then try to connect to the command-and-control server IP. This time ATP should block the connection and should log the involved client, because this time it is traffic to a command-and-control server and the log would show the infected client and not the not infected DNS server.
Children
No Data