Ir al contenido
Avanet

Verifique correctamente las alertas de latidos faltantes de Sophos Firewall

Cortafuegos de Sophos

Las alertas de latidos faltantes en Sophos Firewall o Sophos Central no significan automáticamente que un endpoint esté comprometido. La alerta primero significa: El firewall ve el tráfico de red desde un dispositivo, pero no recibe un latido de seguridad adecuado. Ésta es una diferencia importante. La falta de un latido puede ser un problema real de protección, por ejemplo, si Sophos Endpoint no se está ejecutando o un dispositivo no está conectado correctamente a Sophos Central. En la práctica, sin embargo, muchos mensajes surgen de cambios en la red, diseño de DNS, dispositivos fuera de la ruta del firewall o reglas del firewall que aplican la seguridad de manera demasiado amplia. El artículo clasifica las alertas de latidos faltantes como un punto de control: el estado del endpoint, la ruta del tráfico, el diseño de DNS, la regla de firewall y el estado de Sophos Central deben considerarse en conjunto.

Respuesta corta

Se debe comprobar una alerta de latido faltante, pero no tratarla ciegamente como un caso de malware. Primero aclaras:

  • ¿Sophos Endpoint está instalado y activo en el dispositivo afectado?
  • ¿El tráfico realmente pasa por el mismo firewall de Sophos que espera los latidos?
  • ¿El dispositivo acaba de cambiar entre LAN, WLAN, VPN o una red externa?
  • ¿El dispositivo utiliza solucionadores de DNS externos aunque el firewall detecta el tráfico de DNS?
  • ¿Una regla de firewall aplica Security Heartbeat para dispositivos que no pueden enviar ningún latido? Cuando se producen varias alertas poco después de cambios de red, cambios de estación de acoplamiento o conmutadores de Wi-Fi/LAN, la atención se centra generalmente en el diseño y el tiempo, no en un solo cliente infectado.

Qué significa la falta de latido

Security Heartbeat es parte de Seguridad Sincronizada. Sophos Endpoint y Sophos Firewall envían información de estado relevante para la seguridad a través de Sophos Central. El firewall puede utilizar este estado en reglas, por ejemplo, para restringir dispositivos con un latido rojo. Se produce una alerta de latido faltante cuando el firewall asigna tráfico a un dispositivo pero no ve un latido coincidente. Esto puede tener varias razones:

  • El punto final no envía un latido.
  • El tráfico proviene de un dispositivo sin Sophos Endpoint.
  • El cliente no está detrás del mismo firewall.
  • El firewall sólo ve una parte del tráfico.
  • Los cambios de DNS o de red crean una imagen incompleta durante un breve periodo de tiempo. La función básica está clasificada en el artículo Conectar Sophos Firewall a Sophos Central. Si se utiliza Security Heartbeat en las reglas de firewall, Crear y comprender reglas de Sophos Firewall también encaja.

Causas típicas

causadoPor qué puede surgir la alertaPróximo cheque
Cambiar entre LAN y WLANEl firewall aún ve tráfico desde una IP mientras el punto final ya está funcionando a través de otra interfazComparar el tiempo de alerta con el cambio de red del cliente
Cuaderno fuera del sitioEl punto final está en línea, pero el tráfico no atraviesa el firewall esperadoCompruebe si el cliente está trabajando a través de VPN, otra WLAN o una red externa
Resolvedores de DNS externosEl firewall ve tráfico DNS o tráfico de seguimiento, pero el latido no coincide claramente con la rutaVerifique el servidor DNS para cliente, DHCP y firewall
Dispositivo sin Sophos EndpointLas impresoras, IoT, servidores o clientes protegidos de terceros no envían Sophos HeartbeatVerifique la regla de firewall y los objetos de origen
Sophos Endpoint parado o rotoEl cliente no puede emitir un latido.Comprobar el estado del endpoint en Sophos Central y los servicios locales
La condición del latido del corazón es demasiado ampliaUna regla bloquea o alerta a los dispositivos para los que Heartbeat nunca estuvo programadoVerifique la regla para el usuario, el host y el alcance de la zona

La alerta suele malinterpretarse cuando se utiliza Microsoft Defender u otro producto EDR. Estos dispositivos pueden estar protegidos adecuadamente, pero no envían un latido de seguridad de Sophos. Por lo tanto, las reglas basadas en latidos solo deberían aplicarse cuando Sophos Endpoint sea realmente un requisito.

Verifique el diseño de DNS

El tráfico DNS es un desencadenante típico de alertas de latidos faltantes porque los dispositivos a menudo continúan generando consultas DNS o conexiones breves en segundo plano durante los cambios de red. Cuando los clientes utilizan solucionadores de DNS externos, el firewall puede ver el tráfico sin una coincidencia clara entre el latido, la ruta del cliente y el diseño de políticas. Por eso, en entornos con Security Heartbeat es importante que el diseño de DNS sea consciente:

  • ¿Qué servidores DNS reciben los clientes a través de DHCP?
  • ¿Los clientes administrados utilizan el firewall, servidores DNS internos o solucionadores externos?
  • ¿Los dominios internos se ejecutan a través de rutas de solicitud DNS?
  • ¿Existen perfiles VPN, WLAN o redes de invitados con diferentes servidores DNS?
  • ¿Existen funciones de navegador o punto final que envían DNS más allá del solucionador local? Cuando los clientes utilizan Sophos Firewall como reenviador de DNS, los dominios internos deben resolverse utilizando las rutas de solicitud de DNS adecuadas. El flujo se encuentra en Configurar rutas de solicitud de DNS en Sophos Firewall. Por otro lado, si los clientes utilizan servidores DNS internos directamente, eso también es legítimo. Pero entonces no se debe esperar que una ruta de solicitud DNS en el firewall influya en cada consulta del cliente. Lo que importa es qué solucionador se utiliza realmente desde la perspectiva del cliente.

Verifique las reglas del firewall con latidos

Security Heartbeat no debe integrarse casualmente en todas las reglas del cliente. Una condición de latido del corazón es un requisito de acceso. Si hay dispositivos sin Sophos Endpoint, estrategias de endpoint mixtas o redes especiales, una regla demasiado amplia conducirá rápidamente a falsos positivos o bloqueos inesperados. Preguntas útiles para comprobar las reglas:

  1. ¿Qué regla genera la alerta o bloquea el tráfico?

  2. ¿Está activo Configurar latido de seguridad sincronizado en esta regla?

  3. ¿La regla solo se aplica a los dispositivos finales administrados por Sophos?

  4. ¿Existe alguna excepción para impresoras, escáneres, IoT, servidores, invitados o EDR de terceros?

  5. ¿Se requieren latidos para el origen, el destino o ambos lados?

  6. ¿Existe una regla separada para los dispositivos que no pueden proporcionar latidos? Para el análisis de reglas real, consulte la ayuda Probar la regla de firewall con Log Viewer, Policy Test y Packet Capture y La regla de Sophos Firewall no funciona: verifique las causas.

Verificar registros y central

Para las alertas individuales, el momento suele ser suficiente. Para alertas recurrentes, debe comprobar el firewall, Sophos Central y Endpoint juntos. Estos lugares son útiles en el firewall:

  • Visor de registros: verifique el tráfico, la regla del firewall, la web, el DNS y los eventos del sistema alrededor del momento de la alerta.

  • Proteger > Reglas y políticas > Reglas de firewall: verifique la regla afectada y la condición de latido.

  • Sistema > Sophos Central: Verifique el registro de Central y los servicios activados.

  • Diagnóstico > Captura de paquetes: comprueba si el tráfico realmente atraviesa el firewall.

  • Shell avanzado: evalúe heartbeatd.log y hbtrust.log si es necesario. Los registros de servicio más importantes se recopilan en Buscar y organizar registros de servicio de Sophos Firewall. En Sophos Central también puedes comprobar:

  • ¿Está el terminal en línea?

  • ¿El terminal tiene estado verde, amarillo o rojo?

  • ¿Hay eventos de puntos finales al mismo tiempo?

  • ¿La computadora está duplicada, desactualizada o visible en el inquilino equivocado?

  • ¿Se reinstaló, cambió de nombre, eliminó o movió el terminal recientemente? Si el cortafuegos no está conectado correctamente a Sophos Central, primero se debe comprobar la conexión central. Esto es compatible con Conectar Sophos Firewall a Sophos Central.

Flujo de solución de problemas

Un proceso compacto le impide buscar inmediatamente en el lugar equivocado.

  1. Anote la hora de alerta, el nombre del cliente, la dirección IP, el usuario y la regla afectada.

  2. En Sophos Central, compruebe que el endpoint esté en línea y en buen estado al mismo tiempo.

  3. En el cliente, compruebe que Sophos Endpoint esté instalado, actualizado y conectado.

  4. Verifique la ruta de la red: LAN, WLAN, VPN, estación de acoplamiento, red de otro sitio o red externa.

  5. Verifique el servidor DNS del cliente y compárelo con el diseño esperado.

  6. Compruebe en la regla del firewall si Security Heartbeat está configurado de forma deliberada y lo suficientemente estricta.

  7. Verifique en el visor de registros qué tráfico activó la alerta.

  8. Evalúe la captura de paquetes y los registros de latidos para casos recurrentes.

  9. Ajuste la regla o el diseño de DNS si la alerta surge de operaciones normales. El orden es importante: primero aclare si el cliente puede entregar latidos y si el tráfico atraviesa el firewall esperado. Sólo entonces merece la pena analizar en detalle los registros individuales.

Correcciones típicas

RecomendacionesMedida sensata
Alertas solo al cambiar LAN/WLANDocumente como un problema de sincronización esperado, verifique los cambios en la red del cliente y DHCP/DNS
Los clientes utilizan solucionadores de DNS externosUnifique DNS mediante DHCP, política o configuración de punto final
Los dominios internos solo funcionan parcialmenteVerifique las rutas de solicitud de DNS o el reenvío de DNS interno
Clientes protegidos de terceros afectadosEliminar la condición de latido de la regla o usar una regla separada
Sophos Endpoint fuera de línea o defectuosoReparar, volver a registrar el punto final o limpiar el estado central
La regla se aplica a demasiados dispositivosObjetos de origen restringidos, zonas y grupos de usuarios

Una corrección debería ajustarse al modelo operativo. En un entorno de endpoints puro de Sophos, Heartbeat puede tener sentido como requisito de acceso duro. En entornos mixtos, Heartbeat es más bien una herramienta de control dirigida a grupos de clientes específicos.

Lista de verificación

  • Los dispositivos afectados siempre envían Sophos Security Heartbeat.
  • El firewall y el endpoint están en el inquilino de Sophos Central correcto.
  • El tráfico atraviesa el firewall, que espera el latido.
  • Los servidores DNS y las rutas de solicitud de DNS están documentados.
  • Las reglas del firewall aplican latidos solo para fuentes coincidentes.
  • Los dispositivos sin Sophos Endpoint tienen sus propias reglas o excepciones.
  • Se verificaron juntos el visor de registros, los eventos de los terminales y la hora de alerta.
  • Las alertas recurrentes se han agrupado por cambios de red, patrones de VPN y DNS.

Preguntas frecuentes

¿Una alerta de latido faltante es automáticamente un incidente de seguridad?

No. La alerta primero muestra que el firewall detecta tráfico pero no recibe un latido de seguridad coincidente. Esto puede ser un problema real en el endpoint, pero también puede deberse a cambios en la red, al diseño de DNS o a dispositivos sin Sophos Endpoint.

¿Por qué a menudo aparecen alertas de latidos faltantes en las computadoras portátiles?

Los portátiles suelen alternar entre LAN, WLAN, VPN y redes externas. Durante dichos cambios, las solicitudes de DNS o las conexiones en segundo plano aún pueden ser visibles aunque la ruta del latido ya se vea diferente.

¿Puede Microsoft Defender enviar un latido de Sophos Security?

No. Security Heartbeat es una función de Sophos entre Sophos Endpoint, Sophos Central y Sophos Firewall. Los dispositivos con Microsoft Defender u otro EDR pueden estar protegidos, pero no proporcionan Sophos Heartbeat.

¿Deberías bloquear siempre a los clientes sin latidos?

Sólo si se ajusta conscientemente al concepto de regla y punto final. En redes mixtas, los dispositivos legítimos sin Sophos Endpoint también se verían afectados, por ejemplo, impresoras, IoT, invitados, servidores o clientes con una solución de punto final diferente.

¿Qué registros ayudan con los problemas de latidos del corazón?

El Visor de registros, la regla de firewall afectada y Sophos Central Endpoint Events ayudan primero. Para una solución de problemas más profunda, heartbeatd.log y hbtrust.log son particularmente relevantes en el firewall.