Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 7001 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Explain ATP to me, please

StephaneGROBETY
I've had the opportunity to use ATM in UTM since it was made available. I have spent time trying to work with it and find value in it and I have come to the conclusion that I have failed utterly.

therefore, I'd like someone to explain it to me.

Here is what I have 99.9% of the time: a an alarm about my DNS server making an (unspecified) DNS query to an (unspecified) DNS server in behalf of an (unspecify) client.

The alarms links to this "document":

C2/Generic-A - Viruses and Spyware - Web Threat, Virus and Spyware Detection and Removal | Sophos - Threat Center - Cloud Antivirus, Endpoint, UTM, Encryption, Mobile, DLP, Server, Web, Wireless Security, Network Storage and Next-Gen Firewall Solutio

What the heck am I supposed to do with that ? There is NOTHING that can be used to identify any offensive clients and the few times I digged though the DNS log and was able to identify the given query, it ended up being a large torrent tracker.

Obviously, someone thought that ATP was providing some level of security (or value) so I must be missing something.


This thread was automatically locked due to age.
Parents
  • 0
    Unspecified should at least provide IP addresses. Could you post here some of the relevant entries showing the unspecified entries? Preferably from the log files, not the live log as some detail is truncated in live logs.

    The reputation system is similar to the web filter's reputation system except that it focuses on known C&C networks. It's either a Sophos internal list or they lease access to someone else's reputation system.

    Long and short of it is if a host behind the UTM queries *any* known C&C hosts, IPs, etc, it triggers a warning as the client in question could be infected. It's not immune to false positives (as you saw) but it is worth at least a quick check. For myself, my home unit has it turned on, as do my client's UTM's and quite honestly I have yet to see a ATP warning come up.
  • 0 in reply to TheDrew
    .... and quite honestly I have yet to see a ATP warning come up.


    I had several last week, all originating from one internal source IP and after thoroughly scanning this workstation, some malware was found and removed. Since then I haven't seen new ATP warnings.
Reply
  • 0 in reply to TheDrew
    .... and quite honestly I have yet to see a ATP warning come up.


    I had several last week, all originating from one internal source IP and after thoroughly scanning this workstation, some malware was found and removed. Since then I haven't seen new ATP warnings.
Children
No Data