Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 7400 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection False Positive ?

leonidas saldanha
Hello,

Since I've updated UTM to 9.2 and activated Advanced Threat Protection one of out computers is generating alerts all the time. This computer has Sophos Endpoint installed. I've already scanned this PC many times and uninstalled any unneeded software but I keep receiving this alerts. Does anyone have an idea about this?

------------

Advanced Threat Protection

A threat has been detected in your network The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2014-07-08 15:40:58
Traffic blocked: yes

Internal source IP address or host: XX.XX.XX.XX
        
-- 
System Uptime      : 13 days 15 hours 5 minutes
System Load        : 1.25
System Version     : Sophos UTM 9.203-3

Please refer to the manual for detailed instructions.

The send limit for this notification has been reached. No further notifications of this type will be sent during this period.


This thread was automatically locked due to age.
Parents
  • 0
    A somewhat unfortunate aspect of ATP is that there are three different parts of the system that do enforcement and each logs separately.
    I am not familiar with all the parts but for ATP:
    grep 'threat detected' /var/log/http.log
    /var/log/aptp.log
    afc.log



    Though the logs that you posted show something trying to go to a malicious site, it is actually being failing due to a timeout, not because you have any policy that prevents it or ATP blocking.  The first thing I would do is go to your Filter Actions and set "Suspicious" to being blocked.  This will block the malware category and might lead you additional things being blocking indicated the source.
Reply
  • 0
    A somewhat unfortunate aspect of ATP is that there are three different parts of the system that do enforcement and each logs separately.
    I am not familiar with all the parts but for ATP:
    grep 'threat detected' /var/log/http.log
    /var/log/aptp.log
    afc.log



    Though the logs that you posted show something trying to go to a malicious site, it is actually being failing due to a timeout, not because you have any policy that prevents it or ATP blocking.  The first thing I would do is go to your Filter Actions and set "Suspicious" to being blocked.  This will block the malware category and might lead you additional things being blocking indicated the source.
Children
No Data