Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 7400 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Threat Protection False Positive ?

leonidas saldanha
Hello,

Since I've updated UTM to 9.2 and activated Advanced Threat Protection one of out computers is generating alerts all the time. This computer has Sophos Endpoint installed. I've already scanned this PC many times and uninstalled any unneeded software but I keep receiving this alerts. Does anyone have an idea about this?

------------

Advanced Threat Protection

A threat has been detected in your network The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

Details about the alert:

Threat name....: C2/Generic-A
Details........: C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio
Time...........: 2014-07-08 15:40:58
Traffic blocked: yes

Internal source IP address or host: XX.XX.XX.XX
        
-- 
System Uptime      : 13 days 15 hours 5 minutes
System Load        : 1.25
System Version     : Sophos UTM 9.203-3

Please refer to the manual for detailed instructions.

The send limit for this notification has been reached. No further notifications of this type will be sent during this period.


This thread was automatically locked due to age.
Parents
  • 0
    Hi leonidas,

    I've asked the experts in labs about this one.  The source of this is could be considered either malware or PUA (potentially unwanted application).  The Sophos Endpoint might not detect it unless PUA detection is turned on.

    Remember that in many way ATP is intended to catch behavior that virus scanners (even our own) miss.

    Can you please do the following on the UTM:
    Go to Endpoint Protection, Antivirus
    Add a policy (or edit if you already have one)
    Enable everything INCLUDING "Scan for PUA".
    Wait for policy to sync and then on the infected computer, run a scan.

    If it still doesn't detect then please contact Support.  They should be able to help you run sysinternals tools that will help determine the causing application and submit it to Sophos Labs for inclusion in virus/PUA definitions.
Reply
  • 0
    Hi leonidas,

    I've asked the experts in labs about this one.  The source of this is could be considered either malware or PUA (potentially unwanted application).  The Sophos Endpoint might not detect it unless PUA detection is turned on.

    Remember that in many way ATP is intended to catch behavior that virus scanners (even our own) miss.

    Can you please do the following on the UTM:
    Go to Endpoint Protection, Antivirus
    Add a policy (or edit if you already have one)
    Enable everything INCLUDING "Scan for PUA".
    Wait for policy to sync and then on the infected computer, run a scan.

    If it still doesn't detect then please contact Support.  They should be able to help you run sysinternals tools that will help determine the causing application and submit it to Sophos Labs for inclusion in virus/PUA definitions.
Children
No Data