[9.165][ANSWERED] How ATP works ?

Is it possible to have a small presentation about how ATP works ?

At the core of ATP is a set of different traffic analysis mechanisms based on DNS, IP tables and the application control engine. This efficiently checks against data from our Sophos Labs to detect and prevent devices to connect to C&C/botnets outside the network. But that's not all: If you also enable Web Protection and IPS (which I recommend!) the ATP analysis will be leveraged by results of those systems - all consolidated in one dashboard/inline report/reporting view.

What are the expected behaviour in the graphical interface and in the logs if you have an ATP present in your network ?

As mentioned above, ATP is able to consolidate results not only from its core engine but also IPS and Web Protection. Thus, the webadmin dashboard for ATP will show results whenever one of the analysis reports an incident. Same is true for the inline reports (-->Network Protection), only those will of course add more details/options: You will find information about source and destination of the traffic, a description of the threat found (and an external link to Sophos Threatcentral for ATP result), the origin which tells you which parts of the ATP system triggered the alert (DNS, AFCd, Proxy or IPS). You'll also have the option to add exceptions out of the inline report by hitting the "+" symbol! Note so, that the dashboard and inline reports will reset themselves on a daily basis.

You'll also be able to dig deeper into reporting stuff in the reporting section and see info in the ATP log, http.log and ips.log. This means that incidents reported by httpproxy and ips are not logged in ATP log.

I have also to mention that at this point, the current beta release suffers from the following issues that await fixing:
 - '+' button is not shown in inline report (Network Protection) if ATP is the origin
 - ATP incidents reported by IPS are not triggering email notifications

Happy beta-testing,
Eric

Is it possible to have a small presentation about how ATP works ?

At the core of ATP is a set of different traffic analysis mechanisms based on DNS, IP tables and the application control engine. This efficiently checks against data from our Sophos Labs to detect and prevent devices to connect to C&C/botnets outside the network. But that's not all: If you also enable Web Protection and IPS (which I recommend!) the ATP analysis will be leveraged by results of those systems - all consolidated in one dashboard/inline report/reporting view.

What are the expected behaviour in the graphical interface and in the logs if you have an ATP present in your network ?

As mentioned above, ATP is able to consolidate results not only from its core engine but also IPS and Web Protection. Thus, the webadmin dashboard for ATP will show results whenever one of the analysis reports an incident. Same is true for the inline reports (-->Network Protection), only those will of course add more details/options: You will find information about source and destination of the traffic, a description of the threat found (and an external link to Sophos Threatcentral for ATP result), the origin which tells you which parts of the ATP system triggered the alert (DNS, AFCd, Proxy or IPS). You'll also have the option to add exceptions out of the inline report by hitting the "+" symbol! Note so, that the dashboard and inline reports will reset themselves on a daily basis.

You'll also be able to dig deeper into reporting stuff in the reporting section and see info in the ATP log, http.log and ips.log. This means that incidents reported by httpproxy and ips are not logged in ATP log.

I have also to mention that at this point, the current beta release suffers from the following issues that await fixing:
 - '+' button is not shown in inline report (Network Protection) if ATP is the origin
 - ATP incidents reported by IPS are not triggering email notifications

Happy beta-testing,
Eric