Security Heartbeat

Security Heartbeat ist eine Funktion, mit der Endgeräte und Firewalls ihren Integritätsstatus miteinander austauschen können. Hier finden Sie Informationen, wie es funktioniert, welche verschiedenen Integritätsstatus es gibt, und was sie bedeuten.

Kommunikationskanal

Endgeräte und XG Firewall kommunizieren über eine verschlüsselte TLS-Verbindung über die IP-Adresse 52.5.76.173 auf Port 8347.

Identifizierung von Endgeräten

Jedes Endgerät erhält ein Zertifikat von Sophos Central. Sophos Central teilt diese Zertifikate mit XG Firewall, dadurch kann XG Firewall einer bestimmten Organisation ein Endgerät zuordnen. XG Firewall stellt nur Verbindungen mit Endgeräten her, für die es über ein Zertifikat verfügt.

Informationsaustausch

  • Wenn ein Endgerät zum ersten Mal eine Verbindung mit XG Firewall herstellt, übermittelt es die Details seines aktuellen Integritätsstatus, seiner Netzwerkschnittstellen und der angemeldeten Benutzer.
  • Endgeräte senden alle 15 Sekunden einen Heartbeat (ihren Integritätsstatus) an XG Firewall. Diese Meldungen werden als Heartbeat (Herzschlag) bezeichnet.
  • XG Firewall übermittelt eine Liste von Endgeräten, deren Integritätsstatus rot (gefährdet) oder gelb (Warnung) ist, jeden zweiten Herzschlag, d.h. alle 30 Sekunden.

Fehlender Heartbeat

XG Firewall protokolliert einen Heartbeat als fehlend, wenn sie nicht drei aufeinanderfolgende Heartbeats von einem Endgerät empfängt, das weiterhin Netzwerkverkehr sendet. Wenn das Endgerät den Heartbeat erneut sendet, hält XG Firewall es für aktiv. Ein fehlender Heartbeat wird durch die MAC-Adresse eines Endgeräts bestimmt, wobei alle Schnittstellen berücksichtigt werden.

Grüner Heartbeat-Status

Ein grüner Heartbeat-Status erfordert keine Aktion und bedeutet:

  • Die Sophos Sicherheitssoftware arbeitet einwandfrei.
  • Es wurden keine aktiven Schadprogramme entdeckt.
  • Es wurden keine inaktiven Schadprogramme entdeckt.
  • Es wurden keine potenziell unerwünschten Anwendungen entdeckt.

Gelber Heartbeat-Status

Typische Gründe für einen gelben Status sind:

  • Eine neu installierte PUA (potenziell unerwünschte Anwendung)
  • 24 Stunden seit dem letzten Signatur-Update
  • Ein inaktives Schadprogramm wurde erkannt.
  • Eine potenziell unerwünschte Anwendung wurde entdeckt.

In der Regel ist er vorübergehend, und es sind keine Maßnahmen erforderlich. Sie können jedoch entscheiden, ob Sie Maßnahmen ergreifen wollen, wenn eine PUA oder ein Schadprogramm erkannt wird.

Roter Heartbeat-Status

Ein roter Status erfordert eine Maßnahme. Ein typischer Grund ist, dass ein aktives Schadprogramm erkannt wurde und nicht automatisch entfernt werden konnte.

Sie sollten Maßnahmen ergreifen, wenn eines oder mehrere der folgenden Probleme auftreten:

  • Ein aktives Schadprogramm wurde erkannt.
  • Es wurde erkannt, dass ein Schadprogramm ausgeführt wird.
  • Im Netzwerk wurde bösartiger Netzwerkverkehr erkannt. Dieser Datenverkehr wird eventuell an einen Command-and-Control-Server weitergeleitet, der an einem Botnet- oder einem anderen Schadprogramm-Angriff beteiligt ist.
  • Es wurde Kommunikation mit einem bekannten gefährlichen Host festgestellt. Diese Erkennung basiert auf der IP-Adresse oder DNS-Auflösung.
  • Ein Schadprogramm wurde nicht entfernt.
  • Die Sophos Sicherheitssoftware wird nicht korrekt ausgeführt.

Quell- und Ziel-Heartbeat

Quell- und Ziel-Heartbeats definieren den minimal erforderlichen Heartbeat von der Quelle bzw. vom Ziel. Diese finden Sie unter der jeweiligen Firewallregel.

Schutz basierend auf Integritätsstatus (Schutz vor lateralen Bewegungen)

Endgeräte kommunizieren mit einem anderen Endgerät basierend auf seinem Integritätsstatus und der in Sophos Central angegebenen Richtlinie. Wenn beispielsweise ein Endgerät einen roten Integritätsstatus hätte und eine entsprechende Richtlinie definiert ist, würden andere Endgeräte die Kommunikation mit diesem Endgerät beenden.

XG Firewall wird diese Kommunikation zwischen den Endgeräten verwalten. Sie fungiert als MAC-Schicht-2-Proxy, um jedem Endgerät innerhalb derselben Broadcast-Domäne den MAC- und Integritätsstatus aller anderen Endgeräte mitzuteilen.

Tap-Modus und Security Heartbeat

Damit Security Heartbeat im Tap-Modus arbeiten kann, muss mindestens eine Schnittstelle innerhalb der LAN-Zone konfiguriert sein, die regelmäßig mit dem Netzwerk verbunden ist und deren Adresse von den Endgeräten aus erreicht werden kann. Die IP-Adressen aller Schnittstellen innerhalb der LAN-Zone werden zu Sophos Central und weiter zu den Endgeräten übertragen. Endgeräte wiederum versuchen, eine Verbindung zu einer der IP-Adressen der LAN-Zone herzustellen, um ihre Security Heartbeat-Benachrichtigungen dorthin zu senden.