Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 4 replies
  • Answers 1 answer
  • Subscribers 27 subscribers
  • Views 8212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP/S malware blocked

zeus1976

Hello Zusammen,

Wie kann ich prüfen, welcher Client von Malware infiziert bzw. geblockt wurde? Unter Report / Webfilter (Virus) finde ich leider nichts. Ich arbeite mit der aktuelle Firmware und es handelt sich um die Sophos UTM Home Edition. In den letzten zwei Wochenreports sehe ich, dass 125 HTTP/S malware geblockt wurden und ich möchte herausfinden, welcher Client davon betroffen ist.

Bitte um eine rasche Antwort. Vielen Dank.

Gruss

 

PS: im englischen Forum konnte mir bis jetzt nicht geholfen werden.
community.sophos.com/.../http-s-malware-blocked-sophos-utm



This thread was automatically locked due to age.
Parents
  • 0

    Hi,

     

    das Webfilter-Reporting gibt das leider nicht so einfach her :)

    Man muss hier auch unterscheiden: Ihre Anfrage zum Thema "Web Filter - blocked Malware" bezieht sich darauf, welche Downloads aufgrund virulenter Inhalte geblockt werden.
    Das heißt nicht, daß der Client infiziert ist. Zur Identifizierung und Blockierung z.B. von Command and Controll Traffic infizierter Clients empfehle ich die Advanced Threat Protection.

    Um zu prüfen, welche Downloads von welchen Clients aufgrund der AV-Engine geblockt wurden, kann man ganz einfach im Web Filtering Log suchen. Der Suchbegriff lautet "web request blocked, virus detected".

    Damit bekommt man für den gewünschten Zeitraum alle Einträge aus dem Webfilter-Log angezeigt, in denen eine Anfrage aufgrund deiner AV-Erkennung geblockt wurden.

    z.B.

     

    Das lässt sich mit einem Eicar-Testfile nachstellen. Einfach die Eicar-Testdatei von eicar.org über den Proxy herunterladen und anschließend wie beschrieben im Log raussuchen.

    Über die Weboberfläche würde ich den Suchzeitraum immer möglichst klein halten. Je nach Größe der Logfiles, macht es keinen Spass so eine Suche für das letzte Halbjahr durchzuführen ;)

     

    Ich hoffe ich konnte weiterhelfen.


    Gruß

    Daniel

     

  • 0 in reply to daniel_werner

    Guten Tag Daniel,

    Vielen Dank für die ausführliche Antwort.

    Unter welche Kategorie findet man die "Malware blocked"? Ich sehe im Log keine Viren und die Malware  kann ich momentan nicht eingrenzen bzw. wird mir nicht angezeigt. Möchte einfach wissen, welcher Client diese Zugriffe macht. Kannst du mir hier weiterhelfen?

    Vielen Dank im Voraus für die Hilfe.

    Gruss

  • 0 in reply to zeus1976

    Hallo,

     

    "Malware Blocked" findet man unter keiner bestimmte URL-Kategorie (ich denke mal, die sind gemeint). Die Kategorie ist immer die entsprechende Kategorie der Webseite, die man aufgerufen hat.

     

    Die entsprechende Funde müssen im  Log angezeigt werden. Eventuell muss der Suchzeitraum ausgeweitet werden

    Im Zweifelsfall empfehle ich Ihren entsprechenden Sophos-Partner hinzuzuziehen. Der kann dort sicher mal einen Blick drauf werfen.

     

    MfG
    Daniel

Reply
  • 0 in reply to zeus1976

    Hallo,

     

    "Malware Blocked" findet man unter keiner bestimmte URL-Kategorie (ich denke mal, die sind gemeint). Die Kategorie ist immer die entsprechende Kategorie der Webseite, die man aufgerufen hat.

     

    Die entsprechende Funde müssen im  Log angezeigt werden. Eventuell muss der Suchzeitraum ausgeweitet werden

    Im Zweifelsfall empfehle ich Ihren entsprechenden Sophos-Partner hinzuzuziehen. Der kann dort sicher mal einen Blick drauf werfen.

     

    MfG
    Daniel

Children
No Data