Security Heartbeat の概要

セキュリティハートビートとは、Sophos Endpoint Protection の管理対象エンドポイントが Sophos Central 経由でセキュリティステータス (正常性の状態) を通知する仕組みです。

Sophos Firewall の管理者および Sophos Central の管理者は、ポリシーを定義して、エンドポイントのセキュリティ状態に基づいてネットワークアクセスを制限することができます。たとえば、セキュリティインシデントが発生したエンドポイントを迅速に隔離して、ネットワーク内で脅威が広がることを防止することができます。

エンドポイントの認証は Sophos Central で行われます。Sophos Central の管理者が提供する Endpoint Protection エージェントをエンドポイント上で実行する必要があります。Endpoint Protection エージェントは、エンドポイントが組織に属し、ネットワークにアクセスする許可があるかどうかを確認します。これらのエンドポイントは定期的にセキュリティステータスの最新情報を Sophos Firewall に送信します。その情報に基づいて、所定のポリシーが適用されます。

この機能を使用するには、このファイアウォールを Sophos Central に登録します。

コントロールセンターの「セキュリティハートビート」ウィジェットには、エンドポイントのセキュリティステータスが表示されます。

セキュリティハートビートをオンにした場合は、ミッシングハートビートゾーンを設定してください。ハートビート情報に基づいてトラフィックを制御するには、ユーザー/ネットワークのファイアウォールルールの「詳細設定」セクションで設定します。

セキュリティハートビートが正しく動作するには、以下の条件を満たす必要があります。

• ハートビート接続を確立する前に VPN トンネル経由でルーティングされたトラフィックがないこと。そうでない場合は、ハートビートトラフィックも VPN トンネル経由でルーティングするため、ファイアウォールはハートビートトラフィックを認識できず、エンドポイントを欠落としてマークしてしまいます。エンドポイントの状態が「欠落」の場合、このエンドポイントからのファイアウォール経由のトラフィックはすべてブロックされます。

  注

  Sophos Connect では、エンドポイント上で生成されたハートビートメッセージを VPN 経由で送信することができます (ただし、接続ポリシーで許可されていることが前提となります)。これを設定するには、ファイアウォールの「リモートアクセス VPN > IPsec」に移動します。「詳細設定」で、「トンネル経由でセキュリティハートビートを送信する」を選択します。

• エンドポイントは、中間ルーターの背後に配置してはいけません。これを守らないと、ハートビートの欠落を検出できません。誤った結果が表示される可能性があります。その場合でも、エンドポイントは、セキュリティステータスの共有を行っています。

• ルーターが NAT ゲートウェイではないこと。この条件が満たされていないと、エンドポイントはセキュリティステータスを Sophos Firewall に共有できません。

Synchronized User ID 認証

ユーザーがエンドポイントにサインインすると、セキュリティハートビートを通じて Synchronized User ID (ドメイン名およびユーザー名を含む情報) が Sophos Firewall に送信されます。Sophos Firewall は設定されている Active Directory サーバーのユーザーアカウントを確認し、ユーザーをアクティブにします。