[9.165][ANSWERED] How ATP works ?

no, I'm connected with a cable.

Same behaviour with a cable (from a server).

Which licence do you use ? Beta licence or your own ?

30 Days test License

Same troubles with another UTM from another network.

Both are software version (one installed on UTM320... and the other one is installed on VMWare ESX5).

Same behaviour with a cable (from a server).

Could you please post the following logfiles:
confd-debug.log
mdw-debug.log
afc.log

After doing the following steps:
- Disable IPS and Httpproxy
- Enable ATP
- Restart UTM
- Use your Client and surf to sophostest.com/highrisk

You have Advanced Threat Protection activated with the default configuration or are there any changes?

It works after the reboot...

2013:11:06-17:06:01 naxos afcd[7687]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="10.10.10.100" dstip="176.34.160.144" fwrule="63001" proto="6" threatname="C2/Generic-A" status="1" host="sophostest.com" url="/highrisk" action="drop"

I have restarted all modules first but only the reboot made something.

Do you still want the log files ?

It works after the reboot...

2013:11:06-17:06:01 naxos afcd[7687]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="10.10.10.100" dstip="176.34.160.144" fwrule="63001" proto="6" threatname="C2/Generic-A" status="1" host="sophostest.com" url="/highrisk" action="drop"

I have restarted all modules first but only the reboot made something.

Do you still want the log files ?

Yes, maybe i can track down the reason with help of the logs.
Anyways, thanks for testing :-)

Is it possible to have a small presentation about how ATP works ?

At the core of ATP is a set of different traffic analysis mechanisms based on DNS, IP tables and the application control engine. This efficiently checks against data from our Sophos Labs to detect and prevent devices to connect to C&C/botnets outside the network. But that's not all: If you also enable Web Protection and IPS (which I recommend!) the ATP analysis will be leveraged by results of those systems - all consolidated in one dashboard/inline report/reporting view.

What are the expected behaviour in the graphical interface and in the logs if you have an ATP present in your network ?

As mentioned above, ATP is able to consolidate results not only from its core engine but also IPS and Web Protection. Thus, the webadmin dashboard for ATP will show results whenever one of the analysis reports an incident. Same is true for the inline reports (-->Network Protection), only those will of course add more details/options: You will find information about source and destination of the traffic, a description of the threat found (and an external link to Sophos Threatcentral for ATP result), the origin which tells you which parts of the ATP system triggered the alert (DNS, AFCd, Proxy or IPS). You'll also have the option to add exceptions out of the inline report by hitting the "+" symbol! Note so, that the dashboard and inline reports will reset themselves on a daily basis.

You'll also be able to dig deeper into reporting stuff in the reporting section and see info in the ATP log, http.log and ips.log. This means that incidents reported by httpproxy and ips are not logged in ATP log.

I have also to mention that at this point, the current beta release suffers from the following issues that await fixing:
 - '+' button is not shown in inline report (Network Protection) if ATP is the origin
 - ATP incidents reported by IPS are not triggering email notifications

Happy beta-testing,
Eric

Thank you for this additionnal information Eric.

DNA > The problem persists on my second machine (in HA), I have restarted all services and both nodes but I still access to the test URL without any detection from the APT module.

Could you give me your email to send the logs ?

Thank you,