Sicherheits-Heartbeat
Security Heartbeat ist eine Funktion, die es Endpunkten und Firewalls ermöglicht, ihren Gesundheitszustand untereinander zu kommunizieren.
In diesem Thema werden Einzelheiten zur Funktionsweise, den verschiedenen Gesundheitszuständen und ihrer Bedeutung behandelt.
Kommunikationskanal
Endpoints und Sophos Firewall kommunizieren über eine verschlüsselte TLS-Verbindung über die IP-Adresse 52.5.76.173
auf Port 8347.
Identifizierung der Endpunkte
Jeder Endpunkt erhält ein Zertifikat von Sophos Central. Sophos Central gibt diese Zertifikate an die Sophos Firewall weiter, damit diese einen Endpunkt einer bestimmten Organisation zuordnen kann. Die Sophos Firewall stellt nur Verbindungen mit Endpunkten her, für die sie Zertifikate besitzt.
Informationsaustausch
- Wenn ein Endpunkt zum ersten Mal eine Verbindung zur Sophos Firewall herstellt, sendet er die Details zu seinem aktuellen Integritätsstatus, seinen Netzwerkschnittstellen und den angemeldeten Benutzern.
- Endpunkte senden alle 15 Sekunden einen Heartbeat (ihren Gesundheitsstatus) an die Sophos Firewall.
- Die Sophos Firewall sendet alle 30 Sekunden bei jedem zweiten Heartbeat eine Liste der Endpunkte, deren Integritätsstatus rot (gefährdet) oder gelb (Warnung) ist.
Fehlender Herzschlag
Die Sophos Firewall protokolliert einen fehlenden Heartbeat, wenn sie von einem Endpunkt, der weiterhin Netzwerkverkehr sendet, keine drei aufeinanderfolgenden Heartbeats empfängt. Sendet der Endpunkt den Heartbeat erneut, wertet die Sophos Firewall ihn als aktiv. Ein fehlender Heartbeat wird anhand der MAC-Adresse eines Endpunkts erkannt, wobei alle Schnittstellen berücksichtigt werden.
Um häufige und irreführende Benachrichtigungen über Endpunkte zu vermeiden, die nach absichtlichen Aktionen wie Ausschalten, Ruhezustand oder dem Wechsel zu einem anderen Netzwerkadapter in den Status „fehlender Heartbeat“ wechseln, können Sie das Verhalten der Heartbeat-Erkennung anpassen. Die Anpassungsoptionen sind wie folgt:
- Erhöhen Sie das Standard-Timeout für die Erkennung fehlender Heartbeats: Das Standard-Timeout zwischen den letzten empfangenen Sicherheits-Heartbeat-Nachrichten und dem Übergang des Endpunkts in den Status „fehlender Heartbeat“, wenn weiterhin Netzwerkaktivität des Endpunkts erkannt wird, ist auf 60 Sekunden eingestellt. In manchen Fällen kann dieses Timeout beim Wechsel zwischen Netzwerkadaptern, insbesondere beim Wechsel von einer kabelgebundenen zu einer kabellosen Verbindung, zu kurz sein.
- Verzögertes Senden des Status „Fehlender Heartbeat“ an Sophos Central: Standardmäßig sendet die Firewall Informationen über einen Endpunkt, der in den Status „Fehlender Heartbeat“ wechselt, direkt an Sophos Central.
Notiz
Durch die Verwendung dieser Optionen kann es zu Verzögerungen bei fehlenden Heartbeat-Benachrichtigungen kommen, die Sie erhalten möchten.
Notiz
Wenn Sie eine Firewall-Regel hinzufügen und auswählen Blockieren Sie Clients ohne Heartbeat und fügen Sie eine Web-Ausnahme für Richtlinienprüfungen hinzu unter Web > Ausnahmen, Webanforderungen werden nicht blockiert.
Moderner Standby
Ruhende Windows-Endpunkte, die Modern Standby unterstützen, lösen keine Warnungen zu fehlenden Heartbeats aus.
Wenn ein Endpunkt in den Ruhezustand wechselt, benachrichtigt er die Firewall. Die Firewall kennzeichnet ihn dann als getrennt und generiert keine Heartbeat-Warnmeldungen. Sobald der Endpunkt aktiviert wird, benachrichtigt er die Firewall, die ihn als verbunden kennzeichnet.
Modern Standby wird auf Sophos Endpoint Protection Core Agent 2023.2 und höher unterstützt.
Grüner Herzschlagstatus
Ein grüner Heartbeat-Status erfordert keine Aktion und bedeutet, dass:
- Die Sicherheitssoftware von Sophos funktioniert ordnungsgemäß.
- Es wurde keine aktive Malware erkannt.
- Es wird keine inaktive Malware erkannt.
- Es wurde keine potenziell unerwünschte Anwendung erkannt.
Gelber Herzschlagstatus
Typische Gründe für einen gelben Status sind:
- Eine neu installierte PUA (potenziell unerwünschte Anwendung).
- Vierundzwanzig Stunden seit der letzten Signaturaktualisierung.
- Inaktive Malware wird erkannt.
- Eine potenziell unerwünschte Anwendung wurde erkannt.
Normalerweise ist dies nur vorübergehend und erfordert keine Aktion. Sie können jedoch Maßnahmen ergreifen, wenn eine PUA oder Malware erkannt wird.
Roter Herzschlagstatus
Ein roter Status erfordert Maßnahmen. Ein typischer Grund ist, dass aktive Malware erkannt wurde und nicht automatisch entfernt werden konnte.
Sie sollten Maßnahmen ergreifen, wenn eines oder mehrere der folgenden Probleme auftreten:
- Es wurde aktive Malware erkannt.
- Es wird laufende Malware erkannt.
- Es wurde bösartiger Netzwerkverkehr erkannt. Dieser Datenverkehr könnte zu einem Command-and-Control-Server führen, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist.
- Kommunikation mit einem bekannten fehlerhaften Host wird erkannt. Dies basiert auf der IP-Adresse oder der DNS-Auflösung.
- Malware wurde nicht entfernt.
- Die Sicherheitssoftware von Sophos funktioniert nicht richtig.
Quell-Heartbeat und Ziel-Heartbeat
Quell- und Ziel-Heartbeats definieren den mindestens erforderlichen Heartbeat von der Quelle bzw. dem Ziel. Diese finden Sie unter der jeweiligen Firewall-Regel.
Schutz auf Grundlage des Gesundheitszustands (Lateral Movement Protection)
Endpunkte kommunizieren basierend auf ihrem Integritätsstatus und der in Sophos Central festgelegten Richtlinie miteinander. Wenn beispielsweise ein Endpunkt den Integritätsstatus „Rot“ aufweist und eine entsprechende Richtlinie definiert ist, beenden andere Endpunkte die Kommunikation mit diesem Endpunkt.
Die Sophos Firewall übernimmt die Kommunikation zwischen den Endpunkten. Sie fungiert als MAC-Layer-2-Proxy und teilt jedem Endpunkt innerhalb der gleichen Broadcast-Domäne den MAC- und Integritätsstatus aller anderen Endpunkte mit.
Weitere Informationen finden Sie unter Netzwerkverbindungen ablehnen.
TAP-Modus und Security Heartbeat
Damit Security Heartbeat im TAP-Modus funktioniert, müssen Sie mindestens eine Schnittstelle innerhalb der LAN-Zone konfigurieren, die ständig mit dem Netzwerk verbunden und von den Endpoints aus erreichbar ist. Die IP-Adressen aller Schnittstellen innerhalb der LAN-Zone werden an Sophos Central und weiter an die Endpoints übermittelt. Die Endpoints wiederum versuchen, eine Verbindung zu einer der IP-Adressen der LAN-Zone herzustellen, um ihre Security Heartbeat-Nachrichten dorthin zu senden.