Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 5 subscribers
  • Views 4190 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Advanced Threat Protection Quelle / Verursacher herausfinden

Horsting

Hallo,

ich erhalte von der ATP immer mal wieder Meldungen, dass ein Zugriffsversuch eines Hosts (IP) auf eine gefährliche Seite blockiert wurde.

Meist ist der Host bzw. die angezeigte IP der Windows DNS Server, der ja nur die Anfrage eines Clients weiterleitet. Wenn nun im ATP als Ziel auch ein DNS Name angegeben wird, kann man diesen ja im Debug Log des DNS Servers suchen und findet die entsprechende IP des anfragenden Clients.

Wie kriege ich aber raus, welcher Client die Anfrage gestellt hat (und ggf. verseucht ist), wenn in der ATP Meldung kein Domainname als Ziel steht, sondern eine öffentliche IP Adresse?



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Alexander Busch

    Alexander Busch said:

    Doch, wenn das DNS log nicht weiterhilft, nimm Wireshark und schau, ob Du hier die Quelle ermitteln kannst.

    Als Filter wäre wohl etwas in der Art dns.qry.name == "www.domain.com" passend.

    Beste Grüße 

    Alex

     

    Stimmt, wäre eine Möglichkeit.

    Aber mal zum Verständnis: Wenn in der Übersicht der Advanced Threat Protection als Ziel kein DomainnName steht sondern eine IP Adresse und als Benutzer/Host der Windows DC mit DNS (z.B. 10.0.0.10/24), wie ist das zu deuten??

    Wenn da ein Domainname steht, gehe ich davon aus, dass der DNS von irgendeinem Client eine DNS Anfrage erhalten hat und diesen Domainnamen auflösen will und das dann von der ATP geblockt wird. Da kann man ja in das DNS Log gucken und meist steht dort wiederum ein anderer DNS Server drin (z.B. 10.0.1.10/24), der seinerseits die Anfrage nur an den DC DNS weitergegeben hat. Dann schaut man ins Log dieses DNS Servers und erhält letzendlich die IP des initiierenden Clients und kann sich diesen genauer anschauen.

    Wenn da aber eine IP als Ziel in der ATP Auflistung steht, was heißt das dann? Dass der DNS selbst und direkt versucht, mit der IP zu kommunizieren? Oder sind das dann Reverse Lookups und man muss erst auf dem DC Wireshark laufen lassen, schauen wo das herkommt (bzw. von welchem anderen DNS) und dort dann mit Wireshark prüfen bis man den Client ausfindig machen kann?

    Und was hat es genau mit dem Ursprung auf sich? Mal steht da DNS, mal AFCd und glaube manchmal auch iptables...

    Vielen lieben Dank.

  • 0 in reply to Horsting

    Wenn dein eigener DNS als Ziel angegeben ist, dann war die DNS-Anfrage nicht auffällig genug um das IPS zu triggern, aber in der Antwort ist etwas Auffälliges.

    Beispiel: Es wird nach einem "frischen" SchadsoftwareServer gefragt, der aber auf bekannten IP's läuft oder ein redirect auf bekannte Server bewirkt.

    Dann ist es fast nicht mgl. den Verursacher zu finden.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    dirkkotte said:

    Wenn dein eigener DNS als Ziel angegeben ist, dann war die DNS-Anfrage nicht auffällig genug um das IPS zu triggern, aber in der Antwort ist etwas Auffälliges.

    Nein der eigene DNS wird ja nicht als Ziel angegeben, sondern als Client/Host. Als Ziel steht entweder...

    ...a) ein Domainname drin, dann kann man im DNS Log des DC verfolgen, welche Clients diesen Domainnamen auflösen wollten.

    oder

    ...b) eine IP drin, die findet man im DNS Log des DC aber nicht.

     

    1: DC mit DNS.

    2: Anderer DNS Server.

    3: Von ATP geblocktes Ziel als Domainname (findet man auf 1 o. 2 im DNS Log)

    4: Von ATP geblockte IP (findet man nicht auf 1 o. 2 im DNS Log)

  • 0 in reply to Horsting

    Hallo zusammen,

    ich will/muss mal noch mal fragen, ob noch jemand eine Idee hat, wie man sonst noch rausfinden könnte, welcher Client so eine von der ATP geblockte Anfrage an eine IP Adresse stellt (siehe oben Punkt 4).

    Wireshark eignet sich leider nicht bzw. nur bedingt, denn meist sind solche Meldungen einmalig, sodass es nicht hilft, Wireshark erst nach der ATP Meldung auf dem Quellsystem zu starten. Und auf allen Geräten Wireshark permanent laufen zu lassen erscheint mir auch nicht sinnvoll.

    Besten Dank für jede Idee, jeden Ansatz, jeden Hinweis etc. :-)

Unfiltered HTML