Aller au contenu
Avanet

Vérifiez correctement les alertes de battement de coeur manquant du Sophos Firewall

Pare-feu Sophos

Les alertes Heartbeat manquantes sur Sophos Firewall ou Sophos Central ne signifient pas automatiquement qu’un point final est compromis. L’alerte signifie d’abord : Le pare-feu voit le trafic réseau provenant d’un appareil, mais ne reçoit pas de signal de sécurité approprié. C’est une différence importante. Un battement de cœur manquant peut constituer un véritable problème de protection, par exemple si Sophos Endpoint ne fonctionne pas ou si un appareil n’est pas correctement connecté à Sophos Central. Dans la pratique, cependant, de nombreux messages proviennent de modifications du réseau, de la conception du DNS, de périphériques situés en dehors du chemin du pare-feu ou de règles de pare-feu qui imposent un rythme de sécurité trop large. L’article classe les alertes de battement de cœur manquant comme point de contrôle : l’état du point de terminaison, le chemin du trafic, la conception DNS, la règle de pare-feu et l’état de Sophos Central doivent être pris en compte ensemble.

Réponse courte

Une alerte de battement de cœur manquant doit être vérifiée, mais pas traitée aveuglément comme un cas de malware. D’abord, vous précisez :

  • Sophos Endpoint est-il installé et actif sur l’appareil concerné ?
  • Le trafic passe-t-il réellement par le même pare-feu Sophos qui attend le battement de cœur ?
  • L’appareil vient-il de basculer entre LAN, WLAN, VPN ou un réseau externe ?
  • L’appareil utilise-t-il des résolveurs DNS externes même si le pare-feu voit le trafic DNS ?
  • Une règle de pare-feu applique-t-elle Security Heartbeat aux appareils qui ne peuvent pas du tout envoyer de battement de cœur ? Lorsque plusieurs alertes se produisent peu de temps après des changements de réseau, de station d’accueil ou de commutateurs Wi-Fi/LAN, l’accent est généralement mis sur la conception et le timing, et non sur un seul client infecté.

Que signifie un battement de coeur manquant

Security Heartbeat fait partie de la sécurité synchronisée. Sophos Endpoint et Sophos Firewall signalent des informations d’état relatives à la sécurité via Sophos Central. Le pare-feu peut utiliser cet état dans les règles, par exemple pour restreindre les appareils avec un battement de cœur rouge. Une alerte de battement de cœur manquant se produit lorsque le pare-feu attribue du trafic à un périphérique mais ne voit pas de battement de cœur correspondant. Cela peut avoir plusieurs raisons :

  • Le point de terminaison n’envoie pas de battement de cœur.
  • Le trafic provient d’un appareil sans Sophos Endpoint.
  • Le client n’est pas derrière le même pare-feu.
  • Le pare-feu ne voit qu’une partie du trafic.
  • Les modifications DNS ou réseau créent une image incomplète pendant une courte période. La fonction de base est classée dans l’article Connecter Sophos Firewall à Sophos Central. Si Security Heartbeat est utilisé dans les règles de pare-feu, Créer et comprendre les règles de pare-feu Sophos convient également.

Causes typiques

CauséPourquoi l’alerte peut survenirVérification suivante
Basculer entre LAN et WLANLe pare-feu voit toujours le trafic provenant d’une adresse IP alors que le point final fonctionne déjà via une autre interfaceComparez l’heure d’alerte avec le changement de réseau client
Carnet hors siteLe point de terminaison est en ligne, mais le trafic ne passe pas par le pare-feu attenduVérifiez si le client fonctionne via VPN, un autre WLAN ou un réseau externe
Résolveurs DNS externesLe pare-feu détecte le trafic DNS ou le trafic de suivi, mais le battement de cœur ne correspond pas clairement au chemin.Vérifiez le serveur DNS pour le client, le DHCP et le pare-feu
Appareil sans Sophos EndpointLes imprimantes, l’IoT, les serveurs ou les clients protégés par des tiers n’envoient pas Sophos HeartbeatVérifier la règle de pare-feu et les objets sources
Sophos Endpoint arrêté ou casséLe client ne peut pas délivrer un battement de cœurVérifier l’état du point de terminaison dans Sophos Central et les services locaux
Condition de battement de coeur trop largeUne règle bloque ou alerte les appareils pour lesquels Heartbeat n’a jamais été programméVérifier la règle pour la portée de l’utilisateur, de l’hôte et de la zone

L’alerte est particulièrement souvent mal comprise lorsque Microsoft Defender ou un autre produit EDR est utilisé. De tels appareils peuvent être correctement protégés, mais n’envoient pas de signal de sécurité Sophos. Les règles basées sur le rythme cardiaque ne devraient donc s’appliquer que là où Sophos Endpoint est réellement une exigence.

Vérifiez la conception du DNS

Le trafic DNS est un déclencheur typique d’alertes de battement de cœur manquantes, car les appareils continuent souvent à générer des requêtes DNS ou de courtes connexions en arrière-plan lors des modifications du réseau. Lorsque les clients utilisent des résolveurs DNS externes, le pare-feu peut voir le trafic sans correspondance nette entre le battement de cœur, le chemin du client et la conception de la stratégie. Dans les environnements avec Security Heartbeat, il est donc important que la conception DNS soit consciente :

  • Quels serveurs DNS les clients reçoivent-ils via DHCP ?
  • Les clients gérés utilisent-ils le pare-feu, les serveurs DNS internes ou les résolveurs externes ?
  • Les domaines internes fonctionnent-ils via des routes de requêtes DNS ?
  • Existe-t-il des profils VPN, des WLAN ou des réseaux invités avec différents serveurs DNS ?
  • Existe-t-il des fonctions de navigateur ou de point de terminaison qui envoient le DNS au-delà du résolveur local ? Lorsque les clients utilisent Sophos Firewall comme redirecteur DNS, les domaines internes doivent être résolus à l’aide des routes de requêtes DNS appropriées. Le flux se trouve dans Configurer les routes de requêtes DNS sur le pare-feu Sophos. D’un autre côté, si les clients utilisent directement les serveurs DNS internes, cela est également légitime. Mais vous ne devez pas vous attendre à ce qu’un itinéraire de requête DNS sur le pare-feu influence chaque requête client. Ce qui compte, c’est quel résolveur est réellement utilisé du point de vue du client.

Vérifiez les règles du pare-feu avec heartbeat

Security Heartbeat ne doit pas être intégré à chaque règle client. Une condition de pulsation est une condition d’accès. S’il existe des appareils sans Sophos Endpoint, des stratégies de point de terminaison mixtes ou des réseaux spéciaux, une règle trop large entraînera rapidement des faux positifs ou des blocages inattendus. Questions utiles pour vérifier les règles :

  1. Quelle règle génère l’alerte ou bloque le trafic ?

  2. Configurer le rythme cardiaque de sécurité synchronisé est-il actif dans cette règle ?

  3. La règle s’applique-t-elle uniquement aux appareils terminaux gérés par Sophos ?

  4. Existe-t-il des exceptions pour les imprimantes, les scanners, l’IoT, les serveurs, les invités ou l’EDR tiers ?

  5. Un battement de cœur est-il requis pour la source, la destination ou les deux côtés ?

  6. Existe-t-il une règle distincte pour les appareils qui ne peuvent pas fournir de battement de cœur ? Pour l’analyse réelle des règles, Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture et La règle de pare-feu Sophos ne fonctionne pas : vérifier les causes.

Vérifiez les journaux et la centrale

Pour les alertes individuelles, le timing est souvent suffisant. Pour les alertes récurrentes, vous devez vérifier simultanément le pare-feu, Sophos Central et Endpoint. Ces emplacements sont utiles sur le pare-feu :

  • Log Viewer : vérifiez le trafic, les règles de pare-feu, les événements Web, DNS et système au moment de l’alerte.

  • Protéger > Règles et politiques > Règles de pare-feu : vérifiez la règle concernée et la condition de pulsation.

  • Système > Sophos Central : Vérifiez l’enregistrement Central et les services activés.

  • Diagnostics > Packet capture : vérifiez si le trafic passe réellement par le pare-feu.

  • Advanced Shell : évaluez heartbeatd.log et hbtrust.log si nécessaire. Les journaux de service les plus importants sont collectés dans Rechercher et organiser les journaux de service Sophos Firewall. Dans Sophos Central, vous vérifiez également :

  • Le point final est-il en ligne ?

  • Le point final a-t-il un statut vert, jaune ou rouge ?

  • Y a-t-il des événements de point final en même temps ?

  • L’ordinateur est-il en double, obsolète ou visible chez le mauvais locataire ?

  • Le point de terminaison a-t-il été récemment réinstallé, renommé, supprimé ou déplacé ? Si le pare-feu n’est pas correctement connecté à Sophos Central, la connexion Central elle-même doit être vérifiée en premier. Cela correspond à Connecter Sophos Firewall à Sophos Central.

Flux de dépannage

Un processus compact vous évite de chercher immédiatement au mauvais endroit.

  1. Notez l’heure de l’alerte, le nom du client, l’adresse IP, l’utilisateur et la règle concernée.

  2. Dans Sophos Central, vérifiez que le point de terminaison était en ligne et sain en même temps.

  3. Sur le client, vérifiez que Sophos Endpoint est installé, à jour et connecté.

  4. Vérifiez le chemin du réseau : LAN, WLAN, VPN, station d’accueil, autre réseau de site ou réseau externe.

  5. Vérifiez le serveur DNS du client et comparez-le à la conception attendue.

  6. Vérifiez dans la règle de pare-feu si Security Heartbeat est défini délibérément et suffisamment étroitement.

  7. Vérifiez dans la visionneuse de journaux quel trafic a déclenché l’alerte.

  8. Évaluez les journaux de capture de paquets et de pulsation pour les cas récurrents.

  9. Ajustez la règle ou la conception DNS si l’alerte découle d’opérations normales. L’ordre est important : précisez d’abord si le client peut fournir un battement de cœur et si le trafic passe par le pare-feu attendu. Ce n’est qu’à ce moment-là qu’il vaut la peine d’analyser en détail les journaux individuels.

Correctifs typiques

RésultatsMesure judicieuse
Alertes uniquement lors du changement de LAN/WLANDocumentez comme problème de synchronisation attendu, vérifiez les modifications du réseau client et DHCP/DNS.
Les clients utilisent des résolveurs DNS externesUnifiez le DNS via DHCP, la politique ou la configuration du point de terminaison
Les domaines internes ne fonctionnent que partiellementVérifiez les itinéraires de requête DNS ou le transfert DNS interne
Clients tiers protégés concernésSupprimez la condition de pulsation de la règle ou utilisez une règle distincte
Sophos Endpoint hors ligne ou défectueuxRéparer, réenregistrer le point final ou nettoyer l’état central
La règle s’applique à trop d’appareilsAffiner les objets sources, les zones et les groupes d’utilisateurs

Une correction doit correspondre au modèle opérationnel. Dans un environnement de point de terminaison Sophos pur, Heartbeat peut avoir du sens en tant qu’exigence d’accès strict. Dans les environnements mixtes, Heartbeat est davantage un outil de contrôle ciblé pour des groupes de clients spécifiques.

Liste de contrôle

  • Les appareils concernés envoient toujours Sophos Security Heartbeat.
  • Le pare-feu et le point de terminaison sont dans le bon locataire Sophos Central.
  • Le trafic passe par le pare-feu, qui attend le battement de cœur.
  • Les serveurs DNS et les routes de requêtes DNS sont documentés.
  • Les règles de pare-feu appliquent le rythme cardiaque uniquement pour les sources correspondantes.
  • Les appareils sans Sophos Endpoint ont leurs propres règles ou exceptions.
  • La visionneuse de journaux, les événements de point de terminaison et l’heure d’alerte ont été vérifiés ensemble.
  • Les alertes récurrentes ont été regroupées par modifications du réseau, modèles VPN et DNS.

Questions fréquemment posées

Une alerte de battement de cœur manquant est-elle automatiquement un incident de sécurité ?

Non. L’alerte indique d’abord que le pare-feu détecte le trafic mais ne reçoit pas de signal de sécurité correspondant. Il peut s’agir d’un véritable problème de point de terminaison, mais peut également être dû à des modifications du réseau, à la conception du DNS ou à des appareils dépourvus de Sophos Endpoint.

Pourquoi des alertes de battement de cœur manquant se produisent-elles souvent sur les ordinateurs portables ?

Les ordinateurs portables basculent souvent entre LAN, WLAN, VPN et réseaux externes. Lors de tels changements, les requêtes DNS ou les connexions en arrière-plan peuvent toujours être visibles même si le chemin du battement de cœur semble déjà différent.

Microsoft Defender peut-il envoyer un signal de présence à Sophos Security ?

Non. Security Heartbeat est une fonctionnalité Sophos entre Sophos Endpoint, Sophos Central et Sophos Firewall. Les appareils dotés de Microsoft Defender ou d’un autre EDR peuvent être protégés, mais ne fournissent pas Sophos Heartbeat.

Devez-vous toujours bloquer les clients sans hésiter ?

Seulement si cela correspond consciemment au concept de règle et de point final. Dans les réseaux mixtes, les appareils légitimes sans Sophos Endpoint seraient également affectés, par exemple les imprimantes, l’IoT, les invités, les serveurs ou les clients avec une solution de point de terminaison différente.

Quels journaux aident à résoudre les problèmes de rythme cardiaque ?

La visionneuse de journaux, la règle de pare-feu concernée et les événements Sophos Central Endpoint vous aident en premier. Pour un dépannage plus approfondi, heartbeatd.log et hbtrust.log sont particulièrement pertinents sur le pare-feu.