Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=central-security-heartbeat

Sicherheitsherzschlag

Security Heartbeat ist eine Funktion, die es Endpunkten und Firewalls ermöglicht, ihren Gesundheitszustand untereinander zu kommunizieren.

Dieses Thema behandelt Details zur Funktionsweise, den verschiedenen Gesundheitszuständen und deren Bedeutung.

Kommunikationskanal

Endpunkte und die Sophos Firewall kommunizieren über eine verschlüsselte TLS-Verbindung über die IP-Adresse 52.5.76.173 auf Port 8347.

Identifizierung von Endpunkten

Jeder Endpunkt erhält ein Zertifikat von Sophos Central. Sophos Central stellt diese Zertifikate der Sophos Firewall zur Verfügung, damit diese einen Endpunkt einer bestimmten Organisation zuordnen kann. Die Sophos Firewall stellt nur Verbindungen zu Endpunkten her, für die sie über Zertifikate verfügt.

Informationsaustausch

  • Wenn sich ein Endpunkt zum ersten Mal mit der Sophos Firewall verbindet, sendet er Details zu seinem aktuellen Gesundheitszustand, seinen Netzwerkschnittstellen und den angemeldeten Benutzern.
  • Die Endpunkte senden alle 15 Sekunden einen Herzschlag (ihren Gesundheitszustand) an die Sophos Firewall.
  • Die Sophos Firewall sendet alle 30 Sekunden, also jeden zweiten Herzschlag, eine Liste der Endpunkte, deren Gesundheitsstatus rot (gefährdet) oder gelb (Warnung) ist.

fehlender Herzschlag

Die Sophos Firewall protokolliert einen fehlenden Heartbeat, wenn sie drei aufeinanderfolgende Heartbeats von einem Endpunkt auslässt, der weiterhin Netzwerkverkehr sendet. Sobald der Endpunkt wieder einen Heartbeat sendet, betrachtet die Sophos Firewall ihn als aktiv. Die MAC-Adresse eines Endpunkts bestimmt, ob ein Heartbeat fehlt, wobei alle Schnittstellen berücksichtigt werden.

Um häufige und irreführende Benachrichtigungen über Endpunkte zu vermeiden, die nach beabsichtigten Aktionen wie Ausschalten, Standby, Ruhezustand oder dem Wechsel zu einem anderen Netzwerkadapter in den Status „Kein Heartbeat“ wechseln, können Sie das Verhalten der Heartbeat-Erkennung anpassen. Die Anpassungsoptionen sind wie folgt:

  • Erhöhen Sie das Standard-Timeout für die Erkennung fehlender Heartbeats: Das Standard-Timeout zwischen dem Empfang der letzten Sicherheits-Heartbeat-Nachrichten und dem Wechsel des Endpunkts in den Status „Fehlender Heartbeat“, obwohl weiterhin Netzwerkaktivität erkannt wird, beträgt 60 Sekunden. In manchen Fällen, insbesondere beim Wechsel zwischen Netzwerkadaptern (z. B. von einer kabelgebundenen zu einer drahtlosen Verbindung), kann dieses Timeout zu kurz sein.
  • Verzögerung beim Senden des Status "Missing Heartbeat" an Sophos Central: Standardmäßig sendet die Firewall Informationen über einen Endpunkt, der in den Status "Missing Heartbeat" wechselt, direkt an Sophos Central.

Notiz

Die Nutzung dieser Optionen kann dazu führen, dass die gewünschten Benachrichtigungen über fehlende Herzschläge verzögert werden.

Notiz

Wenn Sie eine Firewall-Regel hinzufügen, wenn Sie Folgendes auswählen Clients ohne Herzschlag blockieren und fügen Sie eine Webausnahme für Richtlinienprüfungen hinzu unter Web > Ausnahmen: Webanfragen werden nicht blockiert.

Moderner Standby

Windows-Endpunkte im Ruhemodus, die Modern Standby unterstützen, lösen keine Warnmeldungen über fehlende Herzschlagsignale aus.

Wenn ein Endpunkt in den Ruhemodus wechselt, benachrichtigt er die Firewall. Die Firewall markiert ihn daraufhin als getrennt und generiert keine Warnmeldungen über fehlende Heartbeats. Sobald der Endpunkt wieder aktiv wird, benachrichtigt er die Firewall, die ihn daraufhin als verbunden markiert.

Modern Standby wird ab Sophos Endpoint Protection Core Agent 2023.2 unterstützt.

Grüner Herzschlagstatus

Ein grüner Herzschlagstatus erfordert keine Aktion und bedeutet Folgendes:

  • Die Sophos-Sicherheitssoftware funktioniert einwandfrei.
  • Es wurde keine aktive Schadsoftware festgestellt.
  • Es wurde keine inaktive Malware festgestellt.
  • Es wurden keine potenziell unerwünschten Anwendungen erkannt.

Gelber Herzschlagstatus

Typische Gründe für einen gelben Status sind:

  • Eine neu installierte PUA (potenziell unerwünschte Anwendung).
  • Seit der letzten Aktualisierung der Signatur sind 24 Stunden vergangen.
  • Inaktive Malware wurde erkannt.
  • Eine potenziell unerwünschte Anwendung wurde erkannt.

Normalerweise ist dies nur vorübergehend und erfordert keine Maßnahmen. Sie können jedoch selbstverständlich Maßnahmen ergreifen, wenn eine potenziell unerwünschte Anwendung (PUA) oder Schadsoftware erkannt wird.

Roter Herzschlagstatus

Ein roter Status erfordert Handlungsbedarf. Ein typischer Grund dafür ist, dass aktive Schadsoftware erkannt wurde, die nicht automatisch entfernt werden konnte.

Sie sollten Maßnahmen ergreifen, wenn eines oder mehrere der folgenden Probleme auftreten:

  • Es wurde aktive Schadsoftware erkannt.
  • Es wurde aktive Schadsoftware entdeckt.
  • Es wurde schädlicher Netzwerkverkehr festgestellt. Dieser Verkehr könnte zu einem Command-and-Control-Server führen, der an einem Botnetz oder einem anderen Malware-Angriff beteiligt ist.
  • Es wird erkannt, dass eine Kommunikation an einen bekannten schädlichen Host gesendet wurde. Dies basiert auf der IP-Adresse oder der DNS-Auflösung.
  • Die Schadsoftware wurde nicht entfernt.
  • Die Sophos-Sicherheitssoftware funktioniert nicht richtig.

Quellherzschlag und Zielherzschlag

Die Quell- und Ziel-Heartbeats definieren die jeweils minimal erforderlichen Heartbeats von der Quelle bzw. dem Ziel. Diese können in der entsprechenden Firewall-Regel gefunden werden.

Schutz aufgrund des Gesundheitszustands (Schutz vor seitlicher Bewegung)

Die Kommunikation zwischen Endpunkten basiert auf deren Integritätsstatus und den in Sophos Central festgelegten Richtlinien. Befindet sich beispielsweise ein Endpunkt im roten Integritätsstatus und ist eine entsprechende Richtlinie definiert, wird die Kommunikation zwischen anderen Endpunkten und diesem Endpunkt eingestellt.

Die Sophos Firewall übernimmt diese Kommunikation zwischen den Endpunkten. Sie fungiert als MAC-Layer-2-Proxy, um jedem Endpunkt innerhalb derselben Broadcast-Domäne die MAC-Adresse und den Integritätsstatus aller anderen Endpunkte mitzuteilen.

Weitere Informationen finden Sie unter Netzwerkverbindungen ablehnen.

TAP-Modus und Sicherheits-Heartbeat

Damit Security Heartbeat im TAP-Modus funktioniert, muss mindestens eine Schnittstelle in der LAN-Zone konfiguriert sein, die permanent mit dem Netzwerk verbunden und von den Endpunkten aus erreichbar ist. Die IP-Adressen aller Schnittstellen in der LAN-Zone werden an Sophos Central und von dort an die Endpunkte übertragen. Die Endpunkte versuchen ihrerseits, eine Verbindung zu einer der IP-Adressen in der LAN-Zone herzustellen, um ihre Security-Heartbeat-Nachrichten zu senden.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen