セキュリティハートビート

セキュリティハートビートは、エンドポイントとファイアウォールがセキュリティ状態を相互に通信できるようにする機能です。ここでは、その仕組みや、セキュリティ状態の種類および意味について説明します。

通信チャネル

エンドポイントと XG Firewall 間の通信は、IP アドレス 52.5.76.173 のポート 8347 を介して、暗号化された TLS 接続によって行われます。

エンドポイントの識別

各エンドポイントは、Sophos Central から証明書を受信します。Sophos Central はこの証明書を XG Firewall と共有します。これにより、XG Firewall はエンドポイントが属する組織を識別することができます。XG Firewall は、証明書を所有するエンドポイントとの接続のみを確立します。

情報交換

  • エンドポイントは初めて XG Firewall に接続するときに、現在のセキュリティ状態、ネットワークインターフェース、サインインユーザーの情報を送信します。
  • エンドポイントは、ハートビート (セキュリティ状態) を 15秒ごとに XG Firewall に送信します。これらのメッセージはハートビートと呼ばれます。
  • XG Firewall は、セキュリティ状態が赤 (危険) または黄 (警告) のエンドポイントのリストを、ハートビートを 2回受けとるたびに (30秒ごとに) 送信します。

ミッシングハートビート

エンドポイントがネットワークトラフィックの送信を継続しているにもかかわらず、そのハートビートが 3回連続して途絶えた場合、XG Firewall はそれをミッシングハートビートとして記録します。エンドポイントがハートビートの送信を再開すると、XG Firewall はそのエンドポイントをアクティブとみなします。ミッシングハートビートはエンドポイントの MAC アドレスによって識別されます。また、すべてのインターフェースが考慮されます。

緑色のハートビート

緑色のハートビートは以下を意味し、特に対処は不要です。

  • ソフォスのセキュリティソフトウェアは正常に動作している。
  • アクティブなマルウェアは検出されていない。
  • 非アクティブなマルウェアは検出されていない。
  • 不要と思われるアプリケーション (PUA) は検出されていない。

黄色のハートビート

黄色のハートビートが表示される理由には、以下のものがあります。

  • 不要と思われるアプリケーション (PUA) が新しくインストールされた。
  • 最後のシグネチャアップデートから 24時間経過している。
  • 非アクティブなマルウェアが検出された。
  • 不要と思われるアプリケーション (PUA) が検出された。

通常は一時的な問題であり、特に対処は不要です。検出された PUA やマルウェアについて、何らかの対処をすることも可能です。

赤色のハートビート

赤色のハートビートは、対処が必要です。よくある原因としては、アクティブなマルウェアが検出され、自動的に削除できていないというものがあります。

次のいずれかの問題が発生した場合は、対処してください。

  • アクティブなマルウェアが検出された。
  • 実行中のマルウェアが検出された。
  • 悪質なトラフィックが検出された。このトラフィックは、ボットネットまたはその他のマルウェア攻撃に関与するコマンドおよびコントロールサーバーに送信される可能性があります。
  • 既知の不良ホストへの通信が検出された。これは、IP アドレスまたは DNS 解決に基づいています。
  • マルウェアが削除されなかった。
  • ソフォスのセキュリティソフトウェアが正常に動作していない。

送信元ハートビートと宛先ハートビート

送信元ハートビートと宛先ハートビートは、送信元と宛先からの最低限必要なハートビートを示します。それぞれの値は、ファイアウォールポリシーで確認できます。

セキュリティ状態に応じた保護対策 (ラテラルムーブメント対策)

エンドポイント間の通信は、そのセキュリティ状態および Sophos Central で指定されたポリシーによって制御されます。たとえば、あるエンドポイントのセキュリティ状態が赤色で、セキュリティ状態に関するポリシーが定義されている場合、他のエンドポイントはこのエンドポイントとの通信を停止します。

XG Firewall が、エンドポイント間の通信の処理を担当します。具体的には、MAC (レイヤー 2) プロキシとして動作し、同じブロードキャストドメイン内にある各エンドポイントに、他のすべてのエンドポイントの MAC およびセキュリティ状態を通知します。

TAP モードとセキュリティハートビート

TAP モードで セキュリティハートビートを使用するには、LAN ゾーン内のインターフェースのうち少なくとも 1つをネットワークに定期的に接続するように設定し、かつ、エンドポイントがそのインターフェースのアドレスにアクセスできるようにする必要があります。LAN ゾーン内のすべてのインターフェースの IP アドレスが、Sophos Central 経由でエンドポイントに送信されます。エンドポイントはこれを受け、LAN ゾーン のいずれかの IP アドレスに接続して セキュリティハートビートメッセージの送信を試みます。