Security Heartbeat-Übersicht
Security Heartbeat ermöglicht der Sophos Firewall und den von Sophos Endpoint Protection verwalteten Endpunkten, über Sophos Central zu kommunizieren und Informationen über den Sicherheitsstatus (Integritätsstatus) der Endpunkte auszutauschen.
Sophos Firewall- und Sophos Central-Administratoren können Richtlinien für den Netzwerkzugriff basierend auf dem Zustand der Endpoints definieren. Endpoints mit Sicherheitsvorfällen können sofort isoliert werden, um die Ausbreitung von Bedrohungen im Netzwerk zu verhindern.
Die Authentifizierung der Endpoints erfolgt über Sophos Central. Auf den Endpoints muss der Endpoint Protection Agent ausgeführt werden, der vom Sophos Central-Administrator bereitgestellt wird. Der Endpoint Protection Agent stellt sicher, dass die Endpoints zur Organisation gehören und Zugriff auf das Netzwerk haben. Die Endpoints senden regelmäßig Statusinformationen an die Sophos Firewall, die die darauf basierenden Richtlinien anwendet.
Notiz
Die Sophos Firewall kommuniziert mit der Sophos Central-IP-Adresse 52.5.76.173 über Port 8347.
Um diese Funktion zu nutzen, müssen Sie wie folgt vorgehen:
- Registrieren Sie diese Firewall bei Sophos Central.
- Informationen zum Konfigurieren von Endpoint Protection in Sophos Central finden Sie unter Erste Schritte.
Notiz
Für diese Funktion ist ein Network Protection-Abonnement erforderlich. Sie können die Funktion konfigurieren, aber ohne gültiges Abonnement nicht nutzen.
Der Sicherheits-Heartbeat Das Widget auf der Control Center-Seite bietet Informationen zum Integritätsstatus von Endpunkten.
Konfigurieren Sie die fehlenden Heartbeat-Zonen, wenn Sie Security Heartbeat aktivieren. Regulieren Sie den Datenverkehr basierend auf Heartbeat-Informationen im Fortschrittlich Abschnitt der Benutzer-/Netzwerk-Firewallregeln.
Damit Security Heartbeat ordnungsgemäß funktioniert, müssen die folgenden Bedingungen erfüllt sein:
-
Es wird kein Datenverkehr durch einen VPN-Tunnel geleitet, bevor die Heartbeat-Verbindung hergestellt wurde. Andernfalls wird der Heartbeat-Datenverkehr ebenfalls durch den VPN-Tunnel geleitet, die Firewall kann den Heartbeat-Datenverkehr nicht erkennen und markiert den Endpunkt als fehlend. Wenn sich der Endpunkt im Fehlen Status: Der gesamte Datenverkehr durch die Firewall von diesem Endpunkt wird blockiert.
Notiz
Sophos Connect kann die von einem Sophos-Endpunkt generierten Heartbeat-Nachrichten senden, sofern die Verbindungsrichtlinie den Versand der Heartbeat-Nachrichten über VPN zulässt. Um dies zu konfigurieren, gehen Sie zu Remote-Zugriff-VPN > IPsec auf Ihrer Firewall. Unter Erweiterte Einstellungen, wählen Senden Sie den Sicherheits-Heartbeat durch den Tunnel.
-
Der Endpunkt darf sich nicht hinter einem Zwischenrouter befinden. Andernfalls kann ein fehlender Heartbeat nicht erkannt werden. Dies führt zu falschen Ergebnissen. Der Endpunkt gibt weiterhin seinen Integritätsstatus bekannt.
- Der Router darf kein NAT-Gateway sein. Andernfalls können Endpunkte ihren Integritätsstatus nicht mit der Sophos Firewall teilen.
Synchronisierte Benutzer-ID-Authentifizierung
Wenn sich ein Benutzer an einem Endpoint anmeldet, sendet Security Heartbeat eine synchronisierte Benutzer-ID mit Domänennamen und Benutzernamen an die Sophos Firewall. Die Sophos Firewall prüft das Benutzerkonto anhand des konfigurierten Active Directory-Servers und aktiviert den Benutzer.
Notiz
Sie müssen keinen Agenten auf dem Server oder den Benutzergeräten installieren. Die Sophos Firewall gibt das Kennwort weder weiter noch verwendet sie es.
Notiz
Derzeit gelten folgende Bedingungen:
- Funktioniert nur mit Active Directory-Authentifizierung.
- Funktioniert mit Windows 10 und höher.
- Unterstützt keine durch Serverschutz geschützten Geräte.
- Erkennt keine lokalen Benutzer.