セキュリティハートビート
セキュリティハートビートは、エンドポイントとファイアウォールがヘルスステータスを相互に通信できるようにする機能です。
ここでは、セキュリティハートビートの仕組みや、セキュリティステータスの種類および意味について詳しく説明します。
通信チャネル
エンドポイントと Sophos Firewall は、ポート 8347 の IP アドレス 52.5.76.173
を介して暗号化された TLS 接続を介して通信します。
エンドポイントの識別
各エンドポイントは Sophos Central から証明書を受信します。Sophos Firewall は、Sophos Central から共有された証明書に基づき、エンドポイントを特定の組織に関連付けます。Sophos Firewall は、証明書があるエンドポイントとのみ、接続を確立します。
情報交換
- エンドポイントは、初めて Sophos Firewall に接続するときに、現在のヘルスステータス、ネットワークインターフェイス、およびサインインユーザーの詳細を送信します。
- エンドポイントは、15秒ごとにハートビート (ヘルスステータス) を Sophos Firewall に送信します。
- Sophos Firewall は、ヘルスステータスが赤 (危険) または黄 (警告) のエンドポイントのリストを、2 ハートビート (30秒) ごとに送信します。
ミッシングハートビート
Sophos Firewall は、ネットワークトラフィックの送信を継続するエンドポイントから 3 回連続してハートビートを受信しない場合、ハートビートが欠落としてログに記録します。エンドポイントがハートビートを再度送信すると、Sophos Firewall はハートビートをアクティブと見なします。エンドポイントの MAC アドレスに基いてハートビートの欠落が判断され、すべてのインターフェースが考慮されます。
エンドポイントの通常の動作 (電源オフ、スリープ状態、休止状態、別のネットワークアダプタへの切り替えなど) が、ハートビートの欠落として頻繁に誤通知される場合は、ハートビートの検出動作をカスタマイズできます。以下のようなカスタマイズを行えます。
- ハートビート欠落を検出するデフォルトのタイムアウト値を大きくする。エンドポイントから最後にセキュリティハートビートを受信した後、エンドポイントのネットワークアクティビティの検出が引き続き行われますが、一定の時間が経過すると、エンドポイントのハートビートが欠落していると見なされます。このタイムアウト値は、デフォルトで 60秒に設定されています。一部のケースでは (ネットワークアダプタが有線接続からワイヤレス接続に切り替えられたときなど)、このタイムアウト値では短すぎることがあります。
- ハートビートの欠落に関する Sophos Central への通知を遅らせる。デフォルトでは、ファイアウォールは、エンドポイントのハートビート欠落について Sophos Central に直接情報を送信します。
注
これらの方法を使用すると、ハートビート欠落に関する通知が届くのが遅くなる可能性があります。
注
ファイアウォールルールを追加するときに、「ハートビートがないクライアントをブロック」を選択し、「Web > 例外」でポリシーチェック用の Web 例外を追加しても、Web 要求はブロックされません。
モダンスタンバイ
モダンスタンバイをサポートするスリープ状態の Windows エンドポイントは、ハートビートの欠落アラートをトリガーしません。
エンドポイントがスリープ状態になると、ファイアウォールに通知されます。その後、ファイアウォールは切断済みとしてマークし、ハートビートの欠落アラートを生成しません。エンドポイントがスリープ状態から復帰すると、ファイアウォールに通知され、エンドポイントは接続済みとしてマークされます。
モダンスタンバイは、Sophos Endpoint Protection コアエージェント 2023.2 以降でサポートされています。
緑色のハートビートステータス
緑色のハートビートステータスにはアクションは必要ありません。つまり、次のことを意味します
- ソフォスのセキュリティソフトウェアは正常に動作している。
- アクティブなマルウェアは検出されていない。
- 非アクティブなマルウェアは検出されていない。
- 不要と思われるアプリケーション (PUA) は検出されていない。
黄色のハートビートステータス
黄色のステータスが表示される一般的な理由は次のとおりです。
- 新しく PUA (不要と思われるアプリケーション) がインストールされた。
- 最後のシグネチャアップデートから 24時間経過している。
- 非アクティブなマルウェアが検出された。
- 不要と思われるアプリケーション (PUA) が検出された。
通常、これは一時的なものであり、アクションは必要ありません。ただし、PUA またはマルウェアが検出されたときにアクションを実行するように選択できます。
赤のハートビートステータス
赤色のステータスにはアクションが必要です。一般的な理由は、アクティブなマルウェアが検出され、自動的に削除できなかったことです。
次のいずれかの問題が発生した場合は、対処する必要があります。
- アクティブなマルウェアが検出された。
- 実行中のマルウェアが検出された。
- 悪意のあるトラフィックが検出された。このトラフィックは、ボットネットまたはその他のマルウェア攻撃に関与するコマンドおよびコントロールサーバーに送信される可能性があります。
- 既知の不良ホストに送信された通信が検出された。これは、IP アドレスまたは DNS 解決に基づいています。
- マルウェアが削除されなかった。
- Sophos セキュリティソフトウェアが正しく動作していない。
送信元ハートビートと宛先ハートビート
送信元ハートビートと宛先ハートビートは、それぞれ送信元と宛先からの最低限必要なハートビートを定義します。これらは、該当するファイアウォールルールで確認できます。
セキュリティ状態に基づく保護 (ラテラルムーブメント対策)
エンドポイントは、そのセキュリティ状態と、Sophos Central で指定されたポリシーに基づいて、他のエンドポイントと通信します。たとえば、エンドポイントのセキュリティ状態が赤になっており、それに対応するポリシーが定義されている場合、他のエンドポイントはそのエンドポイントとの通信を停止します。
Sophos Firewall は、エンドポイント間のこの通信を処理します。MAC レイヤ 2 プロキシとして機能し、同じブロードキャストドメイン内の各エンドポイントに、他のすべてのエンドポイントの MAC およびヘルスステータスを通知します。
TAP モードとセキュリティハートビート
セキュリティハートビートが TAP モードで動作するには、 LAN ゾーン内で、ネットワークに定期的に接続され、エンドポイントからアドレスに到達できるインターフェイスが少なくとも 1 つ設定されている必要があります。LAN ゾーン内のすべてのインターフェースの IP アドレスは、Sophos Central に送信され、さらにエンドポイントにも送信されます。その後エンドポイントは、いずれかの LAN ゾーン IP アドレスに接続して、セキュリティハートビートのメッセージを送信しようとします。