Explain ATP to me, please

I'm not as up on ATP as I'd like but the idea of ATP is to try and catch or identify machines compromised by advanced threats that may have slipped past the existing security infrastructure. Entries like the log you mention (unspecified is a pain in the butt to troubleshoot I know) suggest that a machine may have been compromised by a zero day and is being used as a zombie. By detecting certain traffic known to fit the profile of a zombie speaking with it's C&C machine, the hope is that you'll catch the compromise before it can do further damage.

Thank you both for your answer. Unfortunately, you're neither answering my question so maybe I should rephrase:

ATM alerts are, in their current state, to vague to be acted upon and seems to be very, very prone to false positive. I'm wondering what value the system, in its current implementation, brings.

I've tried to dig a bit deeper into it and the only thing I could find is that it attempts to filter out DNS requests and it does so based on some unspecified reputation system that doesn't seem to properly discriminate. The result seems to be a slew of false positive for very little real hits and each of these report are dreadfully hard to investigate because, for reasons that aren't clear to me, UTM does not provide any details about what was detected so you're left with "detected C&C traffic" when, in fact, the detected "threat" was just a DNS query.

In short, unless there is something incorrectly configured in my system, it gives 100% false alarms and each one requires a very long investigation time by the admin. And I'm just running a small network. That strikes me as a dreadfully bad combination for the end users. So bad, in fact, that I'm wondering what I have missed.

Unspecified should at least provide IP addresses. Could you post here some of the relevant entries showing the unspecified entries? Preferably from the log files, not the live log as some detail is truncated in live logs.

The reputation system is similar to the web filter's reputation system except that it focuses on known C&C networks. It's either a Sophos internal list or they lease access to someone else's reputation system.

Long and short of it is if a host behind the UTM queries *any* known C&C hosts, IPs, etc, it triggers a warning as the client in question could be infected. It's not immune to false positives (as you saw) but it is worth at least a quick check. For myself, my home unit has it turned on, as do my client's UTM's and quite honestly I have yet to see a ATP warning come up.

.... and quite honestly I have yet to see a ATP warning come up.

I had several last week, all originating from one internal source IP and after thoroughly scanning this workstation, some malware was found and removed. Since then I haven't seen new ATP warnings.

ATP in the UTM is in the meanwhile quite effective finding malware in your network and from my experience also relatively silent in view of false positives. In the meanwhile I know a lot of partners and customers who found malware residing in their or customer network thanks to ATP.

While you can be nearly sure if ATP got triggered by it´s blacklist (IPTABLES) or URLs (Web Proxy or AFCd), you have most likely a real threat in your network.

DNS as source is more difficult, as:
a) there may be some obscure domains be listed in ATP pattern list, which besides of malware also may be partly used for legitimate stuff too. Shouldn´t be too many of them, but I assume this absolutely possible.
b) DNS triggers are difficult to resolve back to the originating internal client, as usually in your networks the DC´s should be the only devices doing external lookups for your network, so always your DC, and not the originating client in the network gets listed. And as the blocked Malware lookup from the client gets blocked/not resolved, there´s also no following outgoing connection to a C&C server or Malware URL (which would originate directly from a compromised client).

I thought little about that issue, as I got contacted by partners searching the source of those lookups. My best idea is to place another UTM in bridge mode between your DC´s/DNS Servers and the clients. So ATP on that bridged (temporary) UTM should list the real source clients IP doing that DNS lookups. Not a perfect solution, but better than searching windows logs, wiresharkíng on those windows DC´s etc. for days. Better than nothing ;o)

BTW: As DNS lookups also lists the requested domain, you can weight by yourself, how big the chance is, that this was a real malware. If you have a alert for a human readable domain which makes sense as "mydailynewspaper.com",  it *could* be a malware, but is very likely a FP. If you see domains like "jha89serjha98.ie" or "jaiofddda12.ru" and such senseless strange domains, it´s most likely a real threat trying to access their floating, dynamicly generated C&C domains ;o)

Hi, from what I can tell, ATP includes blacklists of at least the following:
IPs (C&C servers, malware hosts, etc)

possibly also:
DNS (afaict, it's for evil DNS servers and maybe evil domains; evil TLD domains seem to be handled by IPS rules)

I have not seen any real documentation of this; it's gathered from the alerts I've seen, etc.

Barry