Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 7001 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Explain ATP to me, please

StephaneGROBETY
I've had the opportunity to use ATM in UTM since it was made available. I have spent time trying to work with it and find value in it and I have come to the conclusion that I have failed utterly.

therefore, I'd like someone to explain it to me.

Here is what I have 99.9% of the time: a an alarm about my DNS server making an (unspecified) DNS query to an (unspecified) DNS server in behalf of an (unspecify) client.

The alarms links to this "document":

C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio

What the heck am I supposed to do with that ? There is NOTHING that can be used to identify any offensive clients and the few times I digged though the DNS log and was able to identify the given query, it ended up being a large torrent tracker.

Obviously, someone thought that ATP was providing some level of security (or value) so I must be missing something.


This thread was automatically locked due to age.
Parents
  • 0
    Thank you both for your answer. Unfortunately, you're neither answering my question so maybe I should rephrase:

    ATM alerts are, in their current state, to vague to be acted upon and seems to be very, very prone to false positive. I'm wondering what value the system, in its current implementation, brings.

    I've tried to dig a bit deeper into it and the only thing I could find is that it attempts to filter out DNS requests and it does so based on some unspecified reputation system that doesn't seem to properly discriminate. The result seems to be a slew of false positive for very little real hits and each of these report are dreadfully hard to investigate because, for reasons that aren't clear to me, UTM does not provide any details about what was detected so you're left with "detected C&C traffic" when, in fact, the detected "threat" was just a DNS query.

    In short, unless there is something incorrectly configured in my system, it gives 100% false alarms and each one requires a very long investigation time by the admin. And I'm just running a small network. That strikes me as a dreadfully bad combination for the end users. So bad, in fact, that I'm wondering what I have missed.
Reply
  • 0
    Thank you both for your answer. Unfortunately, you're neither answering my question so maybe I should rephrase:

    ATM alerts are, in their current state, to vague to be acted upon and seems to be very, very prone to false positive. I'm wondering what value the system, in its current implementation, brings.

    I've tried to dig a bit deeper into it and the only thing I could find is that it attempts to filter out DNS requests and it does so based on some unspecified reputation system that doesn't seem to properly discriminate. The result seems to be a slew of false positive for very little real hits and each of these report are dreadfully hard to investigate because, for reasons that aren't clear to me, UTM does not provide any details about what was detected so you're left with "detected C&C traffic" when, in fact, the detected "threat" was just a DNS query.

    In short, unless there is something incorrectly configured in my system, it gives 100% false alarms and each one requires a very long investigation time by the admin. And I'm just running a small network. That strikes me as a dreadfully bad combination for the end users. So bad, in fact, that I'm wondering what I have missed.
Children
No Data