Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 327 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Alert (TA14-353A) Targeted Destructive Malware

Alvin
https://www.us-cert.gov/ncas/alerts/TA14-353A

- How do we know if SOPHOS Deployed all the SNORT Signatures in this document or are we supposed to add it ourself?

- How do we know if SOPHOS would block communications to those Command and Control Servers, Botnets etc or do we add ourself?

- My Concern is I am sure I enabled the right configurations in IPS, Web Proxy, ATP etc but the question now is I don't know if SOPHOS is actively processing and adding these information released by US-CERT.

- Ideally it would be good if everytime US-CERT Releases a Alert like this TA14-353A and SOPHOS would Announce with Version *** of the Up2Date all the necessary configuration that can be detected and stopped at the UTM Layers is added.


This thread was automatically locked due to age.
  • 0
    - How do we know if SOPHOS Deployed all the SNORT Signatures in this document or are we supposed to add it ourself?
    You don't until/if Sophos decides to post something on their blog about it.  There is no facitily in UTM to manually add additional snort rules/signatures.

    - How do we know if SOPHOS would block communications to those Command and Control Servers, Botnets etc or do we add ourself?
    You don't until/if Sophos decides to post something on their blog about it.  Yes, you can create your own firewall rules to block based on IP.  If using the Web Filtering proxy, you would also want to block here as well, as it uses Port 8080, which the proxy handles by default.

    I don't know if SOPHOS is actively processing and adding these information released by US-CERT.
    Sophos will post publicly, if they decide to. 

    You can view the individual rules used by IPS in the applicable IPS rules file for your version at Index of /lists.

    If you have a paid license and wish to let Sophos know your concerns, you need to open a support case.  Posting on the forums, it will probably not be seen and will not be acted upon Alvin.

    - Ideally it would be good if everytime US-CERT Releases a Alert like this TA14-353A and SOPHOS would Announce with Version *** of the Up2Date all the necessary configuration that can be detected and stopped at the UTM Layers is added.
    Feature Request site for this one, most likely.