Vai al contenuto
Avanet

Controllare correttamente gli avvisi Heartbeat mancanti di Sophos Firewall

SophosFirewall

Avvisi Heartbeat mancanti su Sophos Firewall o Sophos Central non significa automaticamente che un endpoint è compromesso. L’avviso significa innanzitutto: il firewall vede il traffico di rete da un dispositivo, ma non riceve un heartbeat di sicurezza adeguato. Questa è una differenza importante. Un heartbeat mancante può rappresentare un vero problema di protezione, ad esempio se Sophos Endpoint non è in esecuzione o se un dispositivo non è connesso correttamente a Sophos Central. In pratica, tuttavia, molti messaggi derivano da modifiche della rete, progettazione DNS, dispositivi al di fuori del percorso del firewall o regole del firewall che impongono un heartbeat di sicurezza troppo ampio. L’articolo classifica gli avvisi Heartbeat mancanti come un punto di controllo: lo stato dell’endpoint, il percorso del traffico, la progettazione del DNS, la regola del firewall e l’integrità di Sophos Central devono essere considerati insieme.

Risposta breve

Un avviso di battito cardiaco mancante dovrebbe essere controllato, ma non trattato ciecamente come un caso di malware. Per prima cosa chiarisci:

  • Sophos Endpoint è installato e attivo sul dispositivo interessato?
  • Il traffico passa davvero attraverso lo stesso firewall Sophos che prevede l’heartbeat?
  • Il dispositivo è appena passato da LAN, WLAN, VPN o rete esterna?
  • Il dispositivo utilizza risolutori DNS esterni anche se il firewall vede il traffico DNS?
  • Una regola firewall applica Security Heartbeat ai dispositivi che non sono in grado di inviare un heartbeat? Quando si verificano più avvisi subito dopo modifiche della rete, modifiche della docking station o switch Wi-Fi/LAN, l’attenzione è solitamente rivolta alla progettazione e ai tempi, non a un singolo client infetto.

Cosa significa battito cardiaco mancante

Security Heartbeat fa parte della sicurezza sincronizzata. Sophos Endpoint e Sophos Firewall segnalano informazioni sullo stato rilevanti per la sicurezza tramite Sophos Central. Il firewall può utilizzare questo stato nelle regole, ad esempio per limitare i dispositivi con un heartbeat rosso. Un avviso di heartbeat mancante si verifica quando il firewall assegna il traffico a un dispositivo ma non rileva un heartbeat corrispondente. Ciò può avere diversi motivi:

  • L’endpoint non invia un heartbeat.
  • Il traffico proviene da un dispositivo senza Sophos Endpoint.
  • Il client non è dietro lo stesso firewall.
  • Il firewall vede solo una parte del traffico.
  • Le modifiche al DNS o alla rete creano un’immagine incompleta per un breve periodo. La funzione di base è classificata nell’articolo Connettere Sophos Firewall a Sophos Central. Se nelle regole del firewall viene utilizzato Security Heartbeat, anche Creare e comprendere le regole del Sophos Firewall è adatto.

Cause tipiche

CausatoPerché può sorgere l’allarmeProssimo controllo
Passare da LAN a WLANIl firewall vede ancora il traffico da un IP mentre l’endpoint sta già funzionando tramite un’altra interfacciaConfronta l’ora dell’avviso con la modifica della rete client
Notebook fuori sedeL’endpoint è online, ma il traffico non passa attraverso il firewall previstoControlla se il client funziona tramite VPN, altra WLAN o rete esterna
Risolutori DNS esterniIl firewall rileva il traffico DNS o il traffico di follow-up, ma l’heartbeat non corrisponde in modo preciso al percorsoControllare il server DNS per client, DHCP e firewall
Dispositivo senza Sophos EndpointStampanti, IoT, server o client protetti di terze parti non inviano Sophos HeartbeatControlla la regola del firewall e gli oggetti di origine
Sophos Endpoint arrestato o guastoIl client non può fornire un heartbeatControllare lo stato degli endpoint in Sophos Central e nei servizi locali
Condizione del battito cardiaco troppo ampiaUna regola blocca o avvisa i dispositivi per i quali Heartbeat non è mai stato programmatoControlla la regola per l’ambito utente, host e zona

L’avviso viene spesso frainteso quando si utilizza Microsoft Defender o un altro prodotto EDR. Tali dispositivi possono essere adeguatamente protetti, ma non inviano un heartbeat di sicurezza Sophos. Le regole basate sull’heartbeat dovrebbero quindi applicarsi solo laddove Sophos Endpoint sia realmente un requisito.

Controlla la progettazione DNS

Il traffico DNS è un tipico fattore scatenante della mancanza di avvisi di heartbeat perché i dispositivi spesso continuano a generare query DNS o brevi connessioni in background durante le modifiche alla rete. Quando i client utilizzano risolutori DNS esterni, il firewall può visualizzare il traffico senza una corrispondenza chiara tra heartbeat, percorso client e progettazione dei criteri. Negli ambienti con Security Heartbeat è quindi importante che la progettazione dei DNS sia consapevole:

  • Which DNS servers do clients receive via DHCP?
  • I client gestiti utilizzano firewall, server DNS interni o risolutori esterni?
  • I domini interni vengono eseguiti tramite percorsi di richiesta DNS?
  • Esistono profili VPN, WLAN o reti ospiti con server DNS diversi?
  • Esistono funzioni del browser o dell’endpoint che inviano il DNS oltre il risolutore locale? Quando i client utilizzano Sophos Firewall come forwarder DNS, i domini interni devono essere risolti utilizzando gli instradamenti di richiesta DNS appropriati. Il flusso è in Configura percorsi di richiesta DNS su Sophos Firewall. D’altra parte, se i client utilizzano direttamente i server DNS interni, anche questo è legittimo. Ma non dovresti aspettarti che un percorso di richiesta DNS sul firewall influenzi ogni query del client. Ciò che conta è quale risolutore viene effettivamente utilizzato dal punto di vista del cliente.

Controlla le regole del firewall con heartbeat

Security Heartbeat non dovrebbe essere integrato casualmente in ogni regola del client. Una condizione di heartbeat è un requisito di accesso. Se sono presenti dispositivi senza Sophos Endpoint, strategie endpoint miste o reti speciali, una regola troppo ampia porterà rapidamente a falsi positivi o blocchi imprevisti. Domande utili per verificare le regole:

  1. Quale regola genera l’avviso o blocca il traffico?

  2. Configura Heartbeat di sicurezza sincronizzato è attivo in questa regola?

  3. La regola si applica solo ai dispositivi endpoint gestiti da Sophos?

  4. Sono previste eccezioni per stampanti, scanner, IoT, server, guest o EDR di terze parti?

  5. È richiesto l’heartbeat per l’origine, la destinazione o entrambi i lati?

  6. Esiste una regola separata per i dispositivi che non possono fornire un heartbeat? Per l’analisi vera e propria della regola, sono di aiuto Verificare la regola del firewall con visualizzatore log, test della policy e acquisizione dei pacchetti e La regola del firewall Sophos non funziona: verificare le cause.

Controlla i log e la centrale

Per gli avvisi individuali, la tempistica è spesso sufficiente. Per gli avvisi ricorrenti è necessario controllare insieme il firewall, Sophos Central ed Endpoint. Questi posti sono utili sul firewall:

  • Visualizzatore registro: controlla il traffico, le regole del firewall, il Web, i DNS e gli eventi di sistema nell’orario dell’avviso.

  • Proteggi > Regole e policy > Regole firewall: controlla la regola interessata e la condizione dell’heartbeat.

  • Sistema > Sophos Central: verificare la registrazione a Central e i servizi attivati.

  • Diagnostica > Cattura pacchetti: controlla se il traffico passa davvero attraverso il firewall.

  • Shell Avanzata: valutare heartbeatd.log e hbtrust.log se necessario. I log di servizio più importanti sono raccolti in Trova e organizza log di servizio Sophos Firewall. In Sophos Central controllare anche:

  • L’endpoint è online?

  • L’endpoint ha uno stato verde, giallo o rosso?

  • Sono presenti eventi endpoint contemporaneamente?

  • Il computer è duplicato, non aggiornato o visibile nell’inquilino sbagliato?

  • L’endpoint è stato reinstallato, rinominato, eliminato o spostato di recente? Se il firewall non è connesso correttamente a Sophos Central, è necessario verificare prima la connessione a Central stessa. Questo si adatta a Connetti Sophos Firewall a Sophos Central.

Flusso di risoluzione dei problemi

Un processo compatto ti impedisce di cercare immediatamente nel posto sbagliato.

  1. Annotare l’ora dell’avviso, il nome del client, l’indirizzo IP, l’utente e la regola interessata.

  2. In Sophos Central, verificare che l’endpoint fosse online e integro allo stesso tempo.

  3. Sul client, verificare che Sophos Endpoint sia installato, aggiornato e connesso.

  4. Controllare il percorso di rete: LAN, WLAN, VPN, docking station, altra rete del sito o rete esterna.

  5. Controllare il server DNS del client e confrontarlo con il progetto previsto.

  6. Controllare nella regola del firewall se Security Heartbeat è impostato deliberatamente e con sufficiente rigore.

  7. Controlla nel visualizzatore del registro quale traffico ha attivato l’avviso.

  8. Valutare l’acquisizione dei pacchetti e i registri heartbeat per i casi ricorrenti.

  9. Modificare la regola o la progettazione DNS se l’avviso deriva da normali operazioni. L’ordine è importante: innanzitutto chiarire se il client può fornire heartbeat e se il traffico passa attraverso il firewall previsto. Solo allora vale la pena analizzare in dettaglio i singoli log.

Correzioni tipiche

RisultatiMisura sensata
Avvisi solo quando si cambia LAN/WLANDocumentare come un problema di temporizzazione previsto, controllare le modifiche alla rete client e DHCP/DNS
I client utilizzano risolutori DNS esterniUnifica il DNS tramite DHCP, policy o configurazione dell’endpoint
I domini interni funzionano solo parzialmenteControlla i percorsi delle richieste DNS o l’inoltro DNS interno
Sono interessati i client protetti di terze partiRimuovi la condizione di heartbeat dalla regola o utilizza una regola separata
Sophos Endpoint offline o difettosoRipara, registra nuovamente l’endpoint o ripulisci lo stato di Central
La regola si applica a troppi dispositiviRiduci gli oggetti di origine, le zone e i gruppi di utenti

Una correzione dovrebbe adattarsi al modello operativo. In un ambiente endpoint Sophos puro, Heartbeat può avere senso come requisito di accesso rigido. In ambienti misti, Heartbeat è più uno strumento di controllo mirato per gruppi di clienti specifici.

Lista di controllo

  • I dispositivi interessati inviano sempre Sophos Security Heartbeat.
  • Il firewall e l’endpoint si trovano nel tenant di Sophos Central corretto.
  • Il traffico passa attraverso il firewall, che prevede il battito cardiaco.
  • I server DNS e i percorsi delle richieste DNS sono documentati.
  • Le regole del firewall applicano l’heartbeat solo per le origini corrispondenti.
  • I dispositivi senza Sophos Endpoint hanno le proprie regole o eccezioni.
  • Il visualizzatore di log, gli eventi dell’endpoint e l’ora dell’avviso sono stati controllati insieme.
  • Gli avvisi ricorrenti sono stati raggruppati per modifiche di rete, modelli VPN e DNS.

Domande frequenti

Un avviso di battito cardiaco mancante è automaticamente un incidente di sicurezza?

No. L’avviso mostra innanzitutto che il firewall rileva il traffico ma non riceve un heartbeat di sicurezza corrispondente. Questo può essere un problema reale dell’endpoint, ma può anche essere causato da modifiche alla rete, progettazione DNS o dispositivi senza Sophos Endpoint.

Perché sui notebook si verificano spesso avvisi di battito cardiaco mancante?

I notebook passano spesso tra LAN, WLAN, VPN e reti esterne. Durante tali passaggi, le richieste DNS o le connessioni in background potrebbero essere ancora visibili anche se il percorso dell’heartbeat appare già diverso.

Microsoft Defender può inviare un heartbeat di Sophos Security?

No. Security Heartbeat è una funzionalità di Sophos tra Sophos Endpoint, Sophos Central e Sophos Firewall. I dispositivi con Microsoft Defender o un altro EDR possono essere protetti, ma non forniscono Sophos Heartbeat.

Dovresti sempre bloccare i client senza battito cardiaco?

Solo se si adatta consapevolmente al concetto di regola e di endpoint. Nelle reti miste, sarebbero interessati anche i dispositivi legittimi senza Sophos Endpoint, ad esempio stampanti, IoT, ospiti, server o client con una soluzione endpoint diversa.

Quali registri aiutano con i problemi di battito cardiaco?

Il visualizzatore log, la regola firewall interessata e gli eventi di Sophos Central Endpoint aiutano innanzitutto. Per una risoluzione dei problemi più approfondita, heartbeatd.log e hbtrust.log sono particolarmente rilevanti sul firewall.