This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Advanced Threat Protection Quelle / Verursacher herausfinden

Hallo,

ich erhalte von der ATP immer mal wieder Meldungen, dass ein Zugriffsversuch eines Hosts (IP) auf eine gefährliche Seite blockiert wurde.

Meist ist der Host bzw. die angezeigte IP der Windows DNS Server, der ja nur die Anfrage eines Clients weiterleitet. Wenn nun im ATP als Ziel auch ein DNS Name angegeben wird, kann man diesen ja im Debug Log des DNS Servers suchen und findet die entsprechende IP des anfragenden Clients.

Wie kriege ich aber raus, welcher Client die Anfrage gestellt hat (und ggf. verseucht ist), wenn in der ATP Meldung kein Domainname als Ziel steht, sondern eine öffentliche IP Adresse?

This thread was automatically locked due to age.

Parents

0 dirkkotte over 5 years ago

Dabei müsste es sich dann ja um ein reverse-lookup handeln.

Ist die angefragte IP dann nicht im DNS-log zu finden ... zusammen mit dem Anfragenden?

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 dirkkotte over 5 years ago

Dabei müsste es sich dann ja um ein reverse-lookup handeln.

Ist die angefragte IP dann nicht im DNS-log zu finden ... zusammen mit dem Anfragenden?

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Horsting over 5 years ago in reply to dirkkotte

Nein deshalb frage ich ja. Habe auch schon alle Haken im Debug Log des DNS Servers gesetzt, also so detailliert wie möglich.
Cancel
Vote Up 0 Vote Down

Cancel