Hallo zusammen,
Wir setzen an 2 Standorten Sophos UTMs ein mit aktiver Advanced Threat Protection.
Heute Abend sind über 150 Emails generiert worden, die wie folgt aussahen:
Advanced Threat Protection
A threat has been detected in your network The source IP/host listed below was found to communicate with a potentially malicious site outside your company.
Details about the alert:
Threat name....: C2/Generic-A
Details........: http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/C2~Generic-A.aspx
Time...........: 2019-04-04 19:05:53
Traffic blocked: no
Source IP address or host: x.x.x.x
--
HA Status : HA MASTER (node id: 1)
System Uptime : 84 days 8 hours 22 minutes
System Load : 0.11
System Version : Sophos UTM 9.510-5
Please refer to the manual for detailed instructions.
Laut Dashboard sind 14 infizierte Hosts erkannt worden. Hierbei handelt es sich um Clients und auch Server im LAN hinter der UTM.
Alle Clients/Server haben einen Trend Micro OfficeScan installiert.
Weder der Trend Micro noch das Sophos Virus Removal Tool haben irgendetwas auf den vermeintlich infizierten Systemen gefunden. Auch sonst gibt es hier keine Auffälligkeiten auf diesen Systemen.
Für mich stellt sich nun die Frage: Was passiert hier gerade? Sind die Clients tatsächlich infiziert? Ist das evtl. sogar eine false positive Meldung? Wie komme ich hier weiter?
This thread was automatically locked due to age.
