Sophos Advanced Threat Protection interpretieren
Hallo Community,
ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:
Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42
Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.
Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.
Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:
2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"
Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.
Bei der IP 185.7.214.104 handelt es sich übrigens hierum:
Wie würdet ihr das deuten?
Freu mich auf eure Antworten!
Viele Grüße
Tom
ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:
Benutzer/Host - xxx.xxx.xxx.xxx
Bedrohungsname - C2/Generic-A
Ziel - 185.7.214.104
Ereignisse - 1
Ursprung - Iptables
-
C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">
Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42
Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.
Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.
Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:
2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"
Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.
Bei der IP 185.7.214.104 handelt es sich übrigens hierum:
Wie würdet ihr das deuten?
Freu mich auf eure Antworten!
Viele Grüße
Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3582196315
Url: https://administrator.de/forum/sophos-advanced-threat-protection-interpretieren-3582196315.html
Ausgedruckt am: 27.12.2024 um 06:12 Uhr
4 Kommentare
Neuester Kommentar
Ich hab mich bisher nur theoretisch mit Sophos ATP befasst, finde das im Grunde nicht schlecht. Ob ich das brauche weiß ich nur noch nicht
Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
Welche Software und Konfigurationen ist auf dem Server, dass eine Verbindung zu 443 aufgebaut wird?