UTM9 blocking Botnet traffic... but EP not finding anything...

Allow me to elaborate.
I spoke with the Sophos rep on Spiceworks (Kim@Sophos), who upped it to an engineer, who escalated it and came back with a generic reply that paid users get support. I understand that I am not entitled to paid-level support, and I should be more realistic about my expectations of the forum and its ability to solve my problem 100%. I knew that, going into this, I would be most likely to find useful information about FW rules, web filter rules, and profiles, etc. 

I just expected, in the forum dedicated to the endpoint client, to find info about my problems, or links to KBs regarding them. Users are experiencing a problem where the UTM knows possibly bad traffic is trying to pass the interface and from whom, but the client, which also sits on top of the PC interface (right?) has no knowledge of the traffic. I understand how the UTM makes its decision to classify traffic, and how it gets access to the traffic. The unclear portion of the query is in regard to the client, and how it doesn't seem to correlate any useful information at all. 

Is this expected behavior? 

I can only speak for myself, but I didn't install the Sophos endpoint client because I have great faith in the product; it's because I thought it tied in better detection on the host with the UTM protections present in the gateway. I replaced a perfectly functioning A/V engine that would have told me which process on which interface accessed which prohibited network resource, etc. Is this not a function of the Sophos client? I make mistakes, and often, so this could be another.

Thank you, Andrew for your past and continued support in these forums. I let my frustration turn me into a larger percentage of troll than usual.

Allow me to elaborate.
I spoke with the Sophos rep on Spiceworks (Kim@Sophos), who upped it to an engineer, who escalated it and came back with a generic reply that paid users get support. I understand that I am not entitled to paid-level support, and I should be more realistic about my expectations of the forum and its ability to solve my problem 100%. I knew that, going into this, I would be most likely to find useful information about FW rules, web filter rules, and profiles, etc. 

I just expected, in the forum dedicated to the endpoint client, to find info about my problems, or links to KBs regarding them. Users are experiencing a problem where the UTM knows possibly bad traffic is trying to pass the interface and from whom, but the client, which also sits on top of the PC interface (right?) has no knowledge of the traffic. I understand how the UTM makes its decision to classify traffic, and how it gets access to the traffic. The unclear portion of the query is in regard to the client, and how it doesn't seem to correlate any useful information at all. 

Is this expected behavior? 

I can only speak for myself, but I didn't install the Sophos endpoint client because I have great faith in the product; it's because I thought it tied in better detection on the host with the UTM protections present in the gateway. I replaced a perfectly functioning A/V engine that would have told me which process on which interface accessed which prohibited network resource, etc. Is this not a function of the Sophos client? I make mistakes, and often, so this could be another.

Thank you, Andrew for your past and continued support in these forums. I let my frustration turn me into a larger percentage of troll than usual.