This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP C2/Generic-A Meldungen trotz Firewall-Regel

Hallo Community,

seit einigen Tagen bekommen wir über die ATP C2/Generic-A Meldungen. Die betroffenen Host seien die beiden DCs, doch ein Scan hat nichts gefunden. Es scheint mir, das unter den Zielen auch harmlose Anfragen verschickt werden, wie man im Screenshot sehen kann. Ich frage mich nur, wieso plötzlich diese als Gefahr eingestuft werden. 

Im ATP-Dashboard werden mir folgende Host angezeigt, mit denen die DCs versuchen zu kommunizieren:

  • dlg-configs-neu.cloudapp.net
  • dlgconfigs.trafficmanager.net
  • ds02.test-hf.su

Die ersten beiden gehören wohl zu Microsoft, während der letzte tatsächlich suspekt ist. Der Host wurde auch schon mehrfach gemeldet (https://www.abuseipdb.com/check/91.227.17.18). Daher möchte ich ungern irgendwelche Ausnahmen einrichten ohne zu wissen, was die Ursache hierfür ist. Stattdessen habe ich eine Firewall-Regel gebaut, die alle Dienste von DC zum jeweiligen DNS-Host verbieten soll aber so richtig scheint es nicht zu funktionieren, da ich weiterhin ATP-Meldungen bekomme.

Für jede Hilfe und jeden Tipp wäre ich sehr dankbar Slight smile

Infos zur Firewall:

  • Model: SG230
  • Firmware-Version: 9.705-3
  • Pattern-Version: 195690



This thread was automatically locked due to age.
Parents
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to the Community! 

    If you scan the clients and find nothing that may cause this, you may find that the traffic was generated by a user clicking links on websites or opening files from emails - all these things can generate malicious traffic. At a certain time, the internal host must have tried to DNS query with the external domains, and the UTM must have flagged it scanning the signatures. You can find out more about these DNS queries with the packet capture on your internal network/hosts.

    Thanks,

Reply
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to the Community! 

    If you scan the clients and find nothing that may cause this, you may find that the traffic was generated by a user clicking links on websites or opening files from emails - all these things can generate malicious traffic. At a certain time, the internal host must have tried to DNS query with the external domains, and the UTM must have flagged it scanning the signatures. You can find out more about these DNS queries with the packet capture on your internal network/hosts.

    Thanks,

Children
No Data