Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 1 reply
  • Subscribers 0 subscribers
  • Views 878 views
  • Users 0 members are here
Options
Suggested

[9.165][ANSWERED] ATP communications with sophos.

Billybob
Hi, the sophos adaptive learning system seems intriguing. However the wording that describes what data is transferred to sophos is rather vague and could be a cause for alarm in certain installations. 

1. Is ATP an extension of av scanner and heuristic based or are we just blocking botnets for now?

2. If ATP is only processing known threats as described in the screenshot below then what is the added benefit of running ATP if AV scanner is already enabled and in essence already blocking those known threats?

Regards
Bill
Parents
  • 0
    Bill,


    1. Is ATP an extension of av scanner and heuristic based or are we just blocking botnets for now?


    ATP is both: it is a c&c/botnet detection newly introduced into UTM AND it is an extension to the Sophos AV Live Protection. ATP is actually gathering multiple sources to analyze traffic and eventually block/alert about a potential threat. It even is able to take advantage of other - optional - components which are namely IPS and Web Protection and adds them into a consolidated alert/report. 


    2. If ATP is only processing known threats as described in the screenshot below then what is the added benefit of running ATP if AV scanner is already enabled and in essence already blocking those known threats?


    So it's actually the contrary: ATP may get additional benefit from the AV *but* is first and foremost a unique and autonomous engine to detect C&C/botnet traffic.

    That said and referring to the screenshot (in addition to this post which is kind of related) we will have to refine the explanation/wording.

    Thanks,
    Eric
Reply
  • 0
    Bill,


    1. Is ATP an extension of av scanner and heuristic based or are we just blocking botnets for now?


    ATP is both: it is a c&c/botnet detection newly introduced into UTM AND it is an extension to the Sophos AV Live Protection. ATP is actually gathering multiple sources to analyze traffic and eventually block/alert about a potential threat. It even is able to take advantage of other - optional - components which are namely IPS and Web Protection and adds them into a consolidated alert/report. 


    2. If ATP is only processing known threats as described in the screenshot below then what is the added benefit of running ATP if AV scanner is already enabled and in essence already blocking those known threats?


    So it's actually the contrary: ATP may get additional benefit from the AV *but* is first and foremost a unique and autonomous engine to detect C&C/botnet traffic.

    That said and referring to the screenshot (in addition to this post which is kind of related) we will have to refine the explanation/wording.

    Thanks,
    Eric
Children
No Data
Unfiltered HTML