Synchronized Application Control (SAC) ist eine Erweiterung der Application Control (AC). Jede Anwendung die eine TCP-Verbindung nutz und zu einer Ausführung gehört, wird vom Endpoint gemeldet. Nur Verbindung die der IPS-Anwendungskontrolle unbekannt sind, werden von der SAC gemeldet
Dieser Artikel gibt eine detaillierte Beschreibung, wie man die Synchronized Application Control konfiguriert.
Ein Sophos Central Account wird zum Aktivieren von SAC benötigt. Das SAC-Feature der Sophos XG Firewall erhält Informationen über Heartbeat von den Endpoints. Darum wird das Heartbeat-Feature benötigt.
Gilt für folgende Sophos Produkte und Versionen
Sophos Firewall
Wie man SAC konfiguriert
Nachdem sie die Sophos XG Firewall mit dem Central Account registriert haben, gehen sie zu Synchronisierte Sicherheit zum Bereich Synchronisierte Anwendungskontrolle und aktivieren das Feature Synchronisierte Anwendungskontrolle aktivieren.
Sobald die Sophos XG Firewall den nächsten Heartbeat erhält, werden alle Anwendungen, die der IPS-Anwendungskontrolle unbekannt sind unter Anwendungen > Synchronisierte Anwendungskontrolle aufgelistet.
Anmerkungen:
⦁ Nur Anwendungen die TCP benutzen werden dem Endpoint gemeldet. DU-Verbindungen werden nicht gemeldet.
⦁ Es werden mindestens 8 Datenpakete benötigt um eine Gefahr/ ein Eindringen zu erkennen und um die Richtlinien auf gemeldete Verbindungen anzuwenden.
⦁ Eventuell läuft eine einzelne Anwendung auf mehreren Ausführungen, daher ist es möglich das eine einzelne Anwendung mehrere Ausführungen meldet. Dies könnte zu fehlerhaften Zuordnungen führen, da einige der Ausführungen bereits von der IPS-Anwendungskontrolle gehandhabt werden.