Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 1 reply
  • Subscribers 0 subscribers
  • Views 540 views
  • Users 0 members are here
Options
Suggested

[9.171][QUESTION]Effectiveness of ATP

Billybob
Hi, I am using opendns for my forwarder and I am constantly being warned about botnet activity. However ATP is completely silent.

I did get a warning about DNS query to a botnet site from ATP a few days ago but nothing since then. Upon detection, ATP redirects to a generic sophos website to download the freeware version of sophos AV.

Questions:

1. I am wondering how efficient is ATP at detecting botnet activity?

2. UTM redirecting to a generic sophos AV site doesn't make a lot of business sense. Perhaps a sales pitch to upgrade to Endpoint Protection would be more appropriate with a link to free sophos scanner.

The sophos AV scanner failed to find any viruses on the computer that made the DNS query to the botnet server so it was a false positive[:S] However opendns is still complaining about botnet activity on my network[:$]

Regards
Bill
Parents
  • 0
    Hi Bill,

    Thanks for reporting & asking!

    1. Efficiency of ATP will improve during the time until we go GA as we are still evaluating and adding new data feeds as I speak (write...). Regarding the traffic OpenDNS is complaining about it's probably more complicated. I ran your findings through our Sophos Labs to confirm and while I am still in discussion it's fair to assume that what you encountered is an example of DGA (randomly generated domain names) generated from some type of malware. While this type of requests themselves
    are harder to detect due to their random creation (or put differently where lists of *known* C&C/botnet servers are simply less efficient) it's also easy to understand that OpenDNS by nature is more likely to determine these domains as they simply point nowhere legitimate. 

    The true question so, is what's generating the requests on your side. I will get back to you on this but would also like to ask you to send me the ATP log as I'm curious what triggered your first alert (and if this is anyhow related).

    2. Fully agree - this is something we must & will change.

    Regards,
    Eric
Reply
  • 0
    Hi Bill,

    Thanks for reporting & asking!

    1. Efficiency of ATP will improve during the time until we go GA as we are still evaluating and adding new data feeds as I speak (write...). Regarding the traffic OpenDNS is complaining about it's probably more complicated. I ran your findings through our Sophos Labs to confirm and while I am still in discussion it's fair to assume that what you encountered is an example of DGA (randomly generated domain names) generated from some type of malware. While this type of requests themselves
    are harder to detect due to their random creation (or put differently where lists of *known* C&C/botnet servers are simply less efficient) it's also easy to understand that OpenDNS by nature is more likely to determine these domains as they simply point nowhere legitimate. 

    The true question so, is what's generating the requests on your side. I will get back to you on this but would also like to ask you to send me the ATP log as I'm curious what triggered your first alert (and if this is anyhow related).

    2. Fully agree - this is something we must & will change.

    Regards,
    Eric
Children
No Data
Unfiltered HTML