Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 5 subscribers
  • Views 4196 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Advanced Threat Protection Quelle / Verursacher herausfinden

Horsting

Hallo,

ich erhalte von der ATP immer mal wieder Meldungen, dass ein Zugriffsversuch eines Hosts (IP) auf eine gefährliche Seite blockiert wurde.

Meist ist der Host bzw. die angezeigte IP der Windows DNS Server, der ja nur die Anfrage eines Clients weiterleitet. Wenn nun im ATP als Ziel auch ein DNS Name angegeben wird, kann man diesen ja im Debug Log des DNS Servers suchen und findet die entsprechende IP des anfragenden Clients.

Wie kriege ich aber raus, welcher Client die Anfrage gestellt hat (und ggf. verseucht ist), wenn in der ATP Meldung kein Domainname als Ziel steht, sondern eine öffentliche IP Adresse?



This thread was automatically locked due to age.
Parents
  • 0

    HAllo Dirk,

     

    kurze Frage wie sind den deine DNS einstellungen bei der Sophos das diese nicht vom Cli. durchgereicht werden zur Sophos?

  • 0 in reply to M2019

    M2019 said:

    kurze Frage wie sind den deine DNS einstellungen bei der Sophos das diese nicht vom Cli. durchgereicht werden zur Sophos?

    Sorry, ich verstehe die Frage nicht.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Die Frage war so gemeint macht die Sophos bei dir kein DNS Dienst oder ist Sie nur Forworder, nur damit mn verstehet warum Die Clinet IP Adressen nicht durchgereicht werden bis zu Sophos.

  • 0 in reply to M2019

    Hat denn keiner eine Idee bzw. einen Tipp, wie ich rausfinde, welcher Client auf die geblockte IP zugreift?

  • 0 in reply to Horsting

    Doch, wenn das DNS log nicht weiterhilft, nimm Wireshark und schau, ob Du hier die Quelle ermitteln kannst.

    Als Filter wäre wohl etwas in der Art dns.qry.name == "www.domain.com" passend.

    Beste Grüße 

    Alex

    -

  • 0 in reply to M2019

    Hallo M2019,

    die Frage ist nicht von mir ...

    Aber: Standardkonfiguration in einem Windows-Netz ist oft/meist, DNS von den DC's erledigen zu lassen.

    Die Sophos "sieht" dann nur die Anfragen, welche die internen DNS-Server (DC's) ins Internet senden.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to M2019

    Hallo M2019,

    die Frage ist nicht von mir ...

    Aber: Standardkonfiguration in einem Windows-Netz ist oft/meist, DNS von den DC's erledigen zu lassen.

    Die Sophos "sieht" dann nur die Anfragen, welche die internen DNS-Server (DC's) ins Internet senden.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data
Unfiltered HTML