Sophos Advanced Threat Protection interpretieren
Hallo Community,
ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:
Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42
Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.
Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.
Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:
2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"
Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.
Bei der IP 185.7.214.104 handelt es sich übrigens hierum:
Wie würdet ihr das deuten?
Freu mich auf eure Antworten!
Viele Grüße
Tom
ich habe Sophos im Einsatz und jetzt hat die Advanced Threat Protection diese Meldung ausgegeben:
Benutzer/Host - xxx.xxx.xxx.xxx
Bedrohungsname - C2/Generic-A
Ziel - 185.7.214.104
Ereignisse - 1
Ursprung - Iptables
-
C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">
Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42
Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.
Jetzt hab ich im Firewall-Log gesehen, dass diese Seite bereits vorher schon und auch danach noch aufgerufen und blockiert wurde, ohne dass eine Meldung kam.
Im Gegensatz zur Meldung der Advanced Threat Protection steht im Firewall-Log die 185.7.214.104 als Source:
2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"
Das wiederum würde ja bedeuten, dass der Angriff von außen kam und blockiert wurde.
Welche Interpretation ist richtig?
Allerdings klärt das noch nicht, warum nur einmalig eine Meldung gekommen ist.
Bei der IP 185.7.214.104 handelt es sich übrigens hierum:
Wie würdet ihr das deuten?
Freu mich auf eure Antworten!
Viele Grüße
Tom
Please also mark the comments that contributed to the solution of the article
Content-Key: 3582196315
Url: https://administrator.de/contentid/3582196315
Printed on: April 27, 2024 at 16:04 o'clock
4 Comments
Latest comment
Ich hab mich bisher nur theoretisch mit Sophos ATP befasst, finde das im Grunde nicht schlecht. Ob ich das brauche weiß ich nur noch nicht
Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
Jedenfalls klang das in den kostenlosen Seminaren, über die man das unter die Leute bringen will, so, das Sophos haufenweise Experten beschäftigt die solche Dinge dann auch analysieren. Ich würde einfach mal den Sphos Support Fragen ob sie dir mehr Informationen oder eine Handlungsempfehlung zum Threat geben.
Welche Software und Konfigurationen ist auf dem Server, dass eine Verbindung zu 443 aufgebaut wird?