Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 1464 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is ATP Working?

NewImage
Hi 
I've turned on Advanced Threat Protection (ATP) and i'm seeing no log files being generated, the one today is 0 bits and the archive is empty. Does ATP only create a log when something is detected? 

I ask because I have an infected computer trying to make DNS lookups to a malware site that the IPS is catching, but the ATP system still says I have no infected computers on the network.

UTM 320 with 9.203-3


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    yes, the aptp.log is only created or written to if any ATP event is detected, except for ATP events detected by the HTTP proxy or by IPS. So, if IPS is catching an ATP event, it is currently logged to the ips.log only right now (similar with ATP events detected by the HTTP proxy and http.log). However, the inline reporting and the information on the dashboard in WebAdmin and ATP notifications are based on the information from all sources of ATP events.

    Regarding DNS lookups there is a known issue with DNS queries that pass through the UTM (e.g. if malware does not use the local DNS servers for name resolution and the use of external DNS servers is not blocked by any other policy, e.g. a firewall rule). The current ATP implementation doesn't catch the DNS queries in this case. We will fix this issue in UTM 9.3 (this is internally tracked as Mantis #30220).

    Best regards,
    mlenk
Reply
  • 0
    Hi,

    yes, the aptp.log is only created or written to if any ATP event is detected, except for ATP events detected by the HTTP proxy or by IPS. So, if IPS is catching an ATP event, it is currently logged to the ips.log only right now (similar with ATP events detected by the HTTP proxy and http.log). However, the inline reporting and the information on the dashboard in WebAdmin and ATP notifications are based on the information from all sources of ATP events.

    Regarding DNS lookups there is a known issue with DNS queries that pass through the UTM (e.g. if malware does not use the local DNS servers for name resolution and the use of external DNS servers is not blocked by any other policy, e.g. a firewall rule). The current ATP implementation doesn't catch the DNS queries in this case. We will fix this issue in UTM 9.3 (this is internally tracked as Mantis #30220).

    Best regards,
    mlenk
Children
No Data