Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 5 subscribers
  • Views 4190 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ATP Advanced Threat Protection Quelle / Verursacher herausfinden

Horsting

Hallo,

ich erhalte von der ATP immer mal wieder Meldungen, dass ein Zugriffsversuch eines Hosts (IP) auf eine gefährliche Seite blockiert wurde.

Meist ist der Host bzw. die angezeigte IP der Windows DNS Server, der ja nur die Anfrage eines Clients weiterleitet. Wenn nun im ATP als Ziel auch ein DNS Name angegeben wird, kann man diesen ja im Debug Log des DNS Servers suchen und findet die entsprechende IP des anfragenden Clients.

Wie kriege ich aber raus, welcher Client die Anfrage gestellt hat (und ggf. verseucht ist), wenn in der ATP Meldung kein Domainname als Ziel steht, sondern eine öffentliche IP Adresse?



This thread was automatically locked due to age.
  • 0 in reply to dirkkotte

    dirkkotte said:

    Wenn dein eigener DNS als Ziel angegeben ist, dann war die DNS-Anfrage nicht auffällig genug um das IPS zu triggern, aber in der Antwort ist etwas Auffälliges.

    Nein der eigene DNS wird ja nicht als Ziel angegeben, sondern als Client/Host. Als Ziel steht entweder...

    ...a) ein Domainname drin, dann kann man im DNS Log des DC verfolgen, welche Clients diesen Domainnamen auflösen wollten.

    oder

    ...b) eine IP drin, die findet man im DNS Log des DC aber nicht.

     

    1: DC mit DNS.

    2: Anderer DNS Server.

    3: Von ATP geblocktes Ziel als Domainname (findet man auf 1 o. 2 im DNS Log)

    4: Von ATP geblockte IP (findet man nicht auf 1 o. 2 im DNS Log)

  • 0 in reply to Horsting

    Hallo zusammen,

    ich will/muss mal noch mal fragen, ob noch jemand eine Idee hat, wie man sonst noch rausfinden könnte, welcher Client so eine von der ATP geblockte Anfrage an eine IP Adresse stellt (siehe oben Punkt 4).

    Wireshark eignet sich leider nicht bzw. nur bedingt, denn meist sind solche Meldungen einmalig, sodass es nicht hilft, Wireshark erst nach der ATP Meldung auf dem Quellsystem zu starten. Und auf allen Geräten Wireshark permanent laufen zu lassen erscheint mir auch nicht sinnvoll.

    Besten Dank für jede Idee, jeden Ansatz, jeden Hinweis etc. :-)

Unfiltered HTML