Synology Threat Prevention

tom936

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
Hi,

gibt es zum Threat Prevention irgendein Wiki oder ähnliches wo man die Berichte genauer erklärt bekommt?

Bekomme aktuell ganz viele Mails .... z.B.:

Das folgende verdächtige Ereignis wurde erkannt:

Ereignistyp: Potentially Bad Traffic
Signatur: ET DOS DNS Amplification Attack Inbound
Schweregrad: medium
Quell-IP: 24.255.48.215
Ziel-IP: 62.224.66.176

Das folgende verdächtige Ereignis wurde erkannt:

Ereignistyp: Attempted User Privilege Gain
Signatur: ET EXPLOIT Oracle WebLogic - wls-wsat Component Deserialization Remote Code Execution Windows
Schweregrad: high
Quell-IP: 121.28.12.124
Ziel-IP: 192.168.x.x

Gruß Tom
 

Pootch

Benutzer
Mitglied seit
27. Nov 2012
Beiträge
82
Punkte für Reaktionen
2
Punkte
8
Es gibt extrem viele FalsePositiv Meldungen.
Ich hab derzeit das Problem, dass mir gar keine Emails versendet werden seit dem Update auf SRM 1.2
Das Test Email funktioniert aber.
 

ElaCorp

Benutzer
Mitglied seit
12. Mai 2015
Beiträge
641
Punkte für Reaktionen
33
Punkte
48
Leider werde ich aus Threat Prevention nicht wirklich schlau.
Ich bekomme viele Meldungen. Wo kann ich nachschauen, ob ich handeln muss?

Solche Sachen verstehe ich überhaupt nicht. Und wenn ich danach google, finde ich fast nur englisches dazu. Gibt es auch deutsche Seite, die das erklären?

SCR-20230107-2z3.png

Das folgende verdächtige Netzwerkereignis wurde verworfen:

Ereignistyp: Attempted User Privilege Gain
Signatur: ET INFO Session Traversal Utilities for NAT (STUN Binding
Request On Non-Standard Low Port)
Schwere: high
Quell-IP: XXX.XXX.XXX.91
Ziel-IP: 35.224.227.218
Uhrzeit: 2023-01-06 22:11:58 (GMT+01:00)

Einen vollständigen Bericht finden Sie unter diesem Link:
https://XXX.XXX.XXX.33:8001/webman/...ram=fn=SYNO.SDS.TPS.Event.EventPanel&cid=1171

https://XXX.XXX.XXX.1:8001/webman/i...ram=fn=SYNO.SDS.TPS.Event.EventPanel&cid=1171

https://XXX.synology.me:8001/webman...ram=fn=SYNO.SDS.TPS.Event.EventPanel&cid=1171

Von Ihrem Synology Router- NAME gesendet

Ich dachte, ich könnte die Zugriffe aus dem Ausland zumindest sperren. Aber eine Einstellung dafür finde ich nicht.

SCR-20230107-30x.jpegSCR-20230107-315.png
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
4.318
Punkte für Reaktionen
1.669
Punkte
214
Moin
Wo kann ich nachschauen, ob ich handeln muss?
Nirgends im Sinne von: Ich klicke auf das Ereignis und dann wir mir erklärt was das ist und was ich machen muss.
Solche Sachen verstehe ich überhaupt nicht. Und wenn ich danach google, finde ich fast nur englisches dazu. Gibt es auch deutsche Seite, die das erklären?
Nein. Bei Millionen von möglichen Bedrohungen die sich durch den weltweiten Internetverkehr ergeben können gibt es keine deutschsprachige Seite die einem jede oder jegliche mögliche Bedrohung erklärt und/oder dazu Handlungsvorschläge gibt. Da hilft dann nur selber im Internet danach suchen und dann zu versuchen das Gefundene zu verstehen.

Bei dem Synology Threat Prevention kannst Du Richtlinien mit Aktionen (Warnung/Verwerfen/Nichts ausführen) erstellen und mehr nicht. Ob und wie Du dann wann handelst musst Du selber entscheiden.

VG Jim
 
  • Like
Reaktionen: ElaCorp


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat