conquestador
Goto Top

Sophos Advanced Threat Protection interpretieren

Hallo Community,

ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:

Benutzer/Host  -  xxx.xxx.xxx.xxx
Bedrohungsname  -  C2/Generic-A                               	
Ziel  -  185.7.214.104
Ereignisse  -  1
Ursprung -  Iptables
 - 
C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">  

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.

Bei der IP 185.7.214.104 handelt es sich übrigens hierum:

screenshot 2022-08-08 114903

Wie würdet ihr das deuten?

Freu mich auf eure Antworten!

Viele Grüße
Tom

Content-ID: 3582196315

Url: https://administrator.de/forum/sophos-advanced-threat-protection-interpretieren-3582196315.html

Ausgedruckt am: 27.12.2024 um 06:12 Uhr

ukulele-7
ukulele-7 08.08.2022 um 12:49:00 Uhr
Goto Top
Ich hab mich bisher nur theoretisch mit Sophos ATP befasst, finde das im Grunde nicht schlecht. Ob ich das brauche weiß ich nur noch nicht face-wink

Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
2423392070
2423392070 08.08.2022 um 21:27:39 Uhr
Goto Top
Welche Software und Konfigurationen ist auf dem Server, dass eine Verbindung zu 443 aufgebaut wird?
conquestador
conquestador 10.08.2022 um 16:16:10 Uhr
Goto Top
@ukulele-7
mit dem Sophos-Support habe ich telefoniert und ein kurzes zoom-Meeting gehabt. Ja, Experten gibt es dort mit Sicherheit, Hilfe bekommst du aber nur, wenn du entweder die Light-Version zu ca 6000 € oder die Full-Version (je nach Rechner und Server-Zahl) bei uns ca. 30000€ buchst.
Das Zoom wurde angeboten für "wir schauen mal drüber" daraus wurde aber schnell ein Verkaufsgespräch, in dem erst mal fürchterlich die Angst geschürt wurde und die ganzen Vorzüge des bezahlten Supportes geschildert wurden.
Fehlte nur noch der Satz, den jeder Handwerker am ersten Ausbildungstag lernt: "oh oh oh, das wird teuer!"

@2423392070
Als Mailserver läuft ein Kerio Connect und als Konfiguration ein DNAT
ukulele-7
ukulele-7 10.08.2022 um 16:46:21 Uhr
Goto Top
Ja Sophos hat das auch sehr gepriesen in kostenlosen Seminaren, war auch informativ und das Produkt hat durchaus seinen Reiz. Die Preise wurden aber dann zwischendurch mal genannt und das wird schon schnell teuer, schien die Moderatoren aber nicht zu schocken face-wink