Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 1 reply
  • Subscribers 27 subscribers
  • Views 3360 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Traffic Block / Dashboard Solarwinds MSP

JonasAgius

Moin Zusammen,

seit gestern werden die URLs: dashboardgermany1.systemmonitor.eu.com, upload1germany1.systemmonitor.eu.com usw. als C2/Generic-A betrachtet und der Verkehr wird geblockt. Damit funktioniert die Überwachung nicht mehr :( 

Was mich wundert ist das die Ausnahmen hinterlegt sind aber nicht greifen (Threat Exceptions)

Man kann das Ganze natürlich von Drop auf Alert umstellen, dennoch wäre es ja mal interessant zu wissen warum selbst die Ausnahmen nicht greifen.



This thread was automatically locked due to age.
  • 0

    Lass mich raten, seit gestern Abend kurz nach 21:00 Uhr?

    Ich wurde heute Morgen panisch von meinem Chef angerufen, weil ein knappes Dutzend Kunden-UTMs und unsere eigene über Nacht über 2200 Alarmmails generiert hatten. Wir nutzen bei unseren Kunden GFI zum Patchmanagement, die Agents davon laden auch Daten auf systemmonitor.eu.com Subdomains hoch. Vermutlich ist irgendeine Subdomain bösartiger Natur und Sophos stuft die gesamte Domain als gefährlich ein.

    Das meldende Subsystem der UTMs war zuerst DNS, später Proxy und dann teilweise noch ein weiterer, ACNf oder sowas in der Art.

    Die Ausnahmen im ATP greifen nicht vollständig, das kann ich bestätigen, soweit ich das aber bisher analysieren konnte betrifft der Rest nur noch UTM-Konfigurationen mit AD-SSO Proxies.

    Dort habe ich notgedrungen in der Base Policy (Default Content Filter Block Action) die URLs bei Allowed Websites hinzugefügt, das scheint in den Fällen geholfen zu haben.