4
Sophos Advanced Threat Protection interpretieren
Hallo Community,
ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:
Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42
Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.
Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.
Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:
2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"
Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.
Bei der IP 185.7.214.104 handelt es sich übrigens hierum:
Wie würdet ihr das deuten?
Freu mich auf eure Antworten!
Viele Grüße
Tom
ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:
Benutzer/Host - xxx.xxx.xxx.xxx
Bedrohungsname - C2/Generic-A
Ziel - 185.7.214.104
Ereignisse - 1
Ursprung - Iptables
-
C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1"> Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42
Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.
Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.
Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:
2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"
Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.
Bei der IP 185.7.214.104 handelt es sich übrigens hierum:
Wie würdet ihr das deuten?
Freu mich auf eure Antworten!
Viele Grüße
Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3582196315
Url: https://administrator.de/contentid/3582196315
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Ich hab mich bisher nur theoretisch mit Sophos ATP befasst, finde das im Grunde nicht schlecht. Ob ich das brauche weiß ich nur noch nicht 
Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
Welche Software und Konfigurationen ist auf dem Server, dass eine Verbindung zu 443 aufgebaut wird?
@ukulele-7
mit dem Sophos-Support habe ich telefoniert und ein kurzes zoom-Meeting gehabt. Ja, Experten gibt es dort mit Sicherheit, Hilfe bekommst du aber nur, wenn du entweder die Light-Version zu ca 6000 € oder die Full-Version (je nach Rechner und Server-Zahl) bei uns ca. 30000€ buchst.
Das Zoom wurde angeboten für "wir schauen mal drüber" daraus wurde aber schnell ein Verkaufsgespräch, in dem erst mal fürchterlich die Angst geschürt wurde und die ganzen Vorzüge des bezahlten Supportes geschildert wurden.
Fehlte nur noch der Satz, den jeder Handwerker am ersten Ausbildungstag lernt: "oh oh oh, das wird teuer!"
@2423392070
Als Mailserver läuft ein Kerio Connect und als Konfiguration ein DNAT
mit dem Sophos-Support habe ich telefoniert und ein kurzes zoom-Meeting gehabt. Ja, Experten gibt es dort mit Sicherheit, Hilfe bekommst du aber nur, wenn du entweder die Light-Version zu ca 6000 € oder die Full-Version (je nach Rechner und Server-Zahl) bei uns ca. 30000€ buchst.
Das Zoom wurde angeboten für "wir schauen mal drüber" daraus wurde aber schnell ein Verkaufsgespräch, in dem erst mal fürchterlich die Angst geschürt wurde und die ganzen Vorzüge des bezahlten Supportes geschildert wurden.
Fehlte nur noch der Satz, den jeder Handwerker am ersten Ausbildungstag lernt: "oh oh oh, das wird teuer!"
@2423392070
Als Mailserver läuft ein Kerio Connect und als Konfiguration ein DNAT
Ja Sophos hat das auch sehr gepriesen in kostenlosen Seminaren, war auch informativ und das Produkt hat durchaus seinen Reiz. Die Preise wurden aber dann zwischendurch mal genannt und das wird schon schnell teuer, schien die Moderatoren aber nicht zu schocken
