Synology Threat Prevention

[tom936]

Hi,

gibt es zum Threat Prevention irgendein Wiki oder ähnliches wo man die Berichte genauer erklärt bekommt?

Bekomme aktuell ganz viele Mails .... z.B.:

Das folgende verdächtige Ereignis wurde erkannt:

Ereignistyp: Potentially Bad Traffic
Signatur: ET DOS DNS Amplification Attack Inbound
Schweregrad: medium
Quell-IP: 24.255.48.215
Ziel-IP: 62.224.66.176

Das folgende verdächtige Ereignis wurde erkannt:

Ereignistyp: Attempted User Privilege Gain
Signatur: ET EXPLOIT Oracle WebLogic - wls-wsat Component Deserialization Remote Code Execution Windows
Schweregrad: high
Quell-IP: 121.28.12.124
Ziel-IP: 192.168.x.x

Gruß Tom

 

[Pootch]

Es gibt extrem viele FalsePositiv Meldungen.
Ich hab derzeit das Problem, dass mir gar keine Emails versendet werden seit dem Update auf SRM 1.2
Das Test Email funktioniert aber.

 

[ElaCorp]

Leider werde ich aus Threat Prevention nicht wirklich schlau.
Ich bekomme viele Meldungen. Wo kann ich nachschauen, ob ich handeln muss?

Solche Sachen verstehe ich überhaupt nicht. Und wenn ich danach google, finde ich fast nur englisches dazu. Gibt es auch deutsche Seite, die das erklären?

Das folgende verdächtige Netzwerkereignis wurde verworfen:

Ereignistyp: Attempted User Privilege Gain
Signatur: ET INFO Session Traversal Utilities for NAT (STUN Binding
Request On Non-Standard Low Port)
Schwere: high
Quell-IP: XXX.XXX.XXX.91
Ziel-IP: 35.224.227.218
Uhrzeit: 2023-01-06 22:11:58 (GMT+01:00)

Einen vollständigen Bericht finden Sie unter diesem Link:
https://XXX.XXX.XXX.33:8001/webman/...ram=fn=SYNO.SDS.TPS.Event.EventPanel&cid=1171

https://XXX.XXX.XXX.1:8001/webman/i...ram=fn=SYNO.SDS.TPS.Event.EventPanel&cid=1171

https://XXX.synology.me:8001/webman...ram=fn=SYNO.SDS.TPS.Event.EventPanel&cid=1171

Von Ihrem Synology Router- NAME gesendet

Ich dachte, ich könnte die Zugriffe aus dem Ausland zumindest sperren. Aber eine Einstellung dafür finde ich nicht.

 

[Jim_OS]

Moin

Wo kann ich nachschauen, ob ich handeln muss?

Nirgends im Sinne von: Ich klicke auf das Ereignis und dann wir mir erklärt was das ist und was ich machen muss.

Solche Sachen verstehe ich überhaupt nicht. Und wenn ich danach google, finde ich fast nur englisches dazu. Gibt es auch deutsche Seite, die das erklären?

Nein. Bei Millionen von möglichen Bedrohungen die sich durch den weltweiten Internetverkehr ergeben können gibt es keine deutschsprachige Seite die einem jede oder jegliche mögliche Bedrohung erklärt und/oder dazu Handlungsvorschläge gibt. Da hilft dann nur selber im Internet danach suchen und dann zu versuchen das Gefundene zu verstehen.

Bei dem Synology Threat Prevention kannst Du Richtlinien mit Aktionen (Warnung/Verwerfen/Nichts ausführen) erstellen und mehr nicht. Ob und wie Du dann wann handelst musst Du selber entscheiden.

VG Jim