Zum Inhalt springen
Avanet

Sophos Firewall Missing Heartbeat Alerts richtig prüfen

Sophos Firewall

Missing Heartbeat Alerts auf Sophos Firewall oder Sophos Central bedeuten nicht automatisch, dass ein Endpoint kompromittiert ist. Der Alert bedeutet zuerst: Die Firewall sieht Netzwerkverkehr von einem Gerät, bekommt dazu aber keinen passenden Security Heartbeat.

Das ist ein wichtiger Unterschied. Ein fehlender Heartbeat kann ein echtes Schutzproblem sein, zum Beispiel wenn Sophos Endpoint nicht läuft oder ein Gerät nicht korrekt mit Sophos Central verbunden ist. In der Praxis entstehen viele Meldungen aber durch Netzwerkwechsel, DNS-Design, Geräte ausserhalb des Firewall-Pfads oder Firewall-Regeln, die Security Heartbeat zu breit erzwingen.

Der Artikel ordnet Missing Heartbeat Alerts als Prüfpunkt ein: Endpoint-Status, Trafficpfad, DNS-Design, Firewall-Regel und Sophos-Central-Zustand müssen zusammen betrachtet werden.

Kurzantwort

Ein Missing Heartbeat Alert sollte geprüft, aber nicht blind als Malware-Fall behandelt werden.

Zuerst klärt man:

  • Ist auf dem betroffenen Gerät Sophos Endpoint installiert und aktiv?
  • Läuft der Traffic wirklich über dieselbe Sophos Firewall, die den Heartbeat erwartet?
  • Hat das Gerät gerade zwischen LAN, WLAN, VPN oder einem externen Netz gewechselt?
  • Verwendet das Gerät externe DNS-Resolver, obwohl die Firewall den DNS-Traffic sieht?
  • Erzwingt eine Firewall-Regel Security Heartbeat für Geräte, die gar keinen Heartbeat senden können?

Wenn mehrere Alerts kurz nach Netzwerkwechseln, Docking-Station-Wechseln oder WLAN/LAN-Umschaltungen auftreten, liegt der Schwerpunkt meistens bei Design und Timing, nicht bei einem einzelnen infizierten Client.

Was Missing Heartbeat bedeutet

Security Heartbeat gehört zu Synchronized Security. Dabei melden Sophos Endpoint und Sophos Firewall über Sophos Central sicherheitsrelevante Statusinformationen. Die Firewall kann diesen Status in Regeln verwenden, zum Beispiel um Geräte mit rotem Heartbeat einzuschränken.

Ein Missing Heartbeat Alert entsteht, wenn die Firewall Traffic einem Gerät zuordnet, aber keinen passenden Heartbeat sieht. Das kann mehrere Gründe haben:

  • Der Endpoint sendet keinen Heartbeat.
  • Der Traffic kommt von einem Gerät ohne Sophos Endpoint.
  • Der Client befindet sich nicht hinter derselben Firewall.
  • Die Firewall sieht nur einen Teil des Traffics.
  • DNS- oder Netzwerkwechsel erzeugen kurzzeitig ein unvollständiges Bild.

Die Grundfunktion ist im Artikel Sophos Firewall mit Sophos Central verbinden eingeordnet. Wenn Security Heartbeat in Firewall-Regeln verwendet wird, passt zusätzlich Sophos Firewall Regeln erstellen und verstehen.

Typische Ursachen

UrsacheWarum der Alert entstehen kannNächster Check
Wechsel zwischen LAN und WLANDie Firewall sieht noch Traffic von einer IP, während der Endpoint bereits über ein anderes Interface arbeitetZeitpunkt des Alerts mit Client-Netzwerkwechsel vergleichen
Notebook ausserhalb des StandortsDer Endpoint ist online, der Traffic läuft aber nicht über die erwartete FirewallPrüfen, ob Client über VPN, anderes WLAN oder externes Netz arbeitet
Externe DNS-ResolverDie Firewall sieht DNS-Traffic oder Folgetraffic, aber der Heartbeat passt nicht sauber zum PfadDNS-Server auf Client, DHCP und Firewall prüfen
Gerät ohne Sophos EndpointDrucker, IoT, Server oder Drittanbieter-geschützte Clients senden keinen Sophos HeartbeatFirewall-Regel und Quellobjekte prüfen
Sophos Endpoint gestoppt oder defektDer Client kann keinen Heartbeat liefernEndpoint-Status in Sophos Central und lokale Dienste prüfen
Zu breite Heartbeat-BedingungEine Regel blockiert oder alarmiert Geräte, für die Heartbeat nie geplant warRegel auf Benutzer-, Host- und Zonen-Scope prüfen

Besonders häufig wird der Alert missverstanden, wenn Microsoft Defender oder ein anderes EDR-Produkt im Einsatz ist. Solche Geräte können zwar sauber geschützt sein, senden aber keinen Sophos Security Heartbeat. Heartbeat-basierte Regeln sollten deshalb nur dort greifen, wo Sophos Endpoint wirklich Voraussetzung ist.

DNS-Design prüfen

DNS-Traffic ist ein typischer Auslöser für Missing Heartbeat Alerts, weil Geräte während Netzwerkwechseln oft weiterhin DNS-Anfragen oder kurze Hintergrundverbindungen erzeugen. Wenn Clients externe DNS-Resolver verwenden, kann die Firewall Traffic sehen, ohne dass Heartbeat, Clientpfad und Policy-Design sauber zusammenpassen.

In Umgebungen mit Security Heartbeat ist deshalb wichtig, dass das DNS-Design bewusst ist:

  • Welche DNS-Server erhalten Clients per DHCP?
  • Verwenden verwaltete Clients die Firewall, interne DNS-Server oder externe Resolver?
  • Laufen interne Domains über DNS Request Routes?
  • Gibt es VPN-Profile, WLANs oder Gastnetze mit abweichenden DNS-Servern?
  • Gibt es Browser- oder Endpoint-Funktionen, die DNS am lokalen Resolver vorbei senden?

Wenn Clients die Sophos Firewall als DNS-Forwarder verwenden, müssen interne Domains über passende DNS Request Routes aufgelöst werden. Der Ablauf steht in DNS Request Routes auf Sophos Firewall konfigurieren.

Wenn Clients dagegen direkt interne DNS-Server verwenden, ist das ebenfalls legitim. Dann sollte man aber nicht erwarten, dass eine DNS Request Route auf der Firewall jede Clientabfrage beeinflusst. Entscheidend ist, welcher Resolver aus Sicht des Clients tatsächlich verwendet wird.

Firewall-Regeln mit Heartbeat prüfen

Security Heartbeat sollte nicht nebenbei in jede Client-Regel eingebaut werden. Eine Heartbeat-Bedingung ist eine Zugriffsvoraussetzung. Wenn Geräte ohne Sophos Endpoint, gemischte Endpoint-Strategien oder Sondernetze vorhanden sind, führt eine zu breite Regel schnell zu Fehlalarmen oder unerwarteten Blocks.

Sinnvolle Fragen zur Regelprüfung:

  1. Welche Regel erzeugt den Alert oder blockiert den Traffic?
  2. Ist Configure Synchronized Security Heartbeat in dieser Regel aktiv?
  3. Gilt die Regel nur für verwaltete Sophos-Endpoint-Geräte?
  4. Gibt es Ausnahmen für Drucker, Scanner, IoT, Server, Gäste oder Drittanbieter-EDR?
  5. Wird Heartbeat für Source, Destination oder beide Seiten verlangt?
  6. Gibt es eine separate Regel für Geräte, die keinen Heartbeat liefern können?

Für die eigentliche Regelanalyse helfen Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture und Sophos Firewall Regel greift nicht: Ursachen prüfen.

Logs und Central prüfen

Bei einzelnen Alerts reicht oft die zeitliche Einordnung. Bei wiederkehrenden Alerts sollte man Firewall, Sophos Central und Endpoint gemeinsam prüfen.

Auf der Firewall sind diese Stellen hilfreich:

  • Log Viewer: Traffic, Firewall Rule, Web, DNS und System Events rund um den Alert-Zeitpunkt prüfen.
  • Protect > Rules and policies > Firewall rules: betroffene Regel und Heartbeat-Bedingung kontrollieren.
  • System > Sophos Central: Central-Registrierung und aktivierte Services prüfen.
  • Diagnostics > Packet capture: prüfen, ob der Traffic wirklich über die Firewall läuft.
  • Advanced Shell: bei Bedarf heartbeatd.log und hbtrust.log auswerten.

Die wichtigsten Service-Logs sind in Sophos Firewall Service-Logs finden und einordnen gesammelt.

In Sophos Central prüft man zusätzlich:

  • Ist der Endpoint online?
  • Hat der Endpoint einen grünen, gelben oder roten Status?
  • Gibt es Endpoint Events zur gleichen Zeit?
  • Ist der Computer doppelt, veraltet oder im falschen Tenant sichtbar?
  • Wurde der Endpoint kürzlich neu installiert, umbenannt, gelöscht oder verschoben?

Wenn die Firewall nicht sauber mit Sophos Central verbunden ist, sollte zuerst die Central-Anbindung selbst geprüft werden. Dazu passt Sophos Firewall mit Sophos Central verbinden.

Troubleshooting-Ablauf

Ein kompakter Ablauf verhindert, dass man sofort an der falschen Stelle sucht.

  1. Alert-Zeitpunkt, Clientname, IP-Adresse, Benutzer und betroffene Regel notieren.
  2. In Sophos Central prüfen, ob der Endpoint zur gleichen Zeit online und gesund war.
  3. Auf dem Client prüfen, ob Sophos Endpoint installiert, aktuell und verbunden ist.
  4. Netzwerkpfad prüfen: LAN, WLAN, VPN, Docking-Station, anderes Standortnetz oder externes Netz.
  5. DNS-Server des Clients prüfen und mit dem erwarteten Design vergleichen.
  6. In der Firewall-Regel prüfen, ob Security Heartbeat bewusst und eng genug gesetzt ist.
  7. Im Log Viewer prüfen, welcher Traffic den Alert ausgelöst hat.
  8. Bei wiederkehrenden Fällen Packet Capture und Heartbeat-Logs auswerten.
  9. Regel- oder DNS-Design anpassen, wenn der Alert durch normale Betriebsabläufe entsteht.

Wichtig ist die Reihenfolge: Erst klären, ob der Client Heartbeat liefern kann und ob der Traffic über die erwartete Firewall läuft. Erst danach lohnt sich die Detailanalyse einzelner Logs.

Typische Korrekturen

BefundSinnvolle Massnahme
Alerts nur bei LAN/WLAN-WechselAls erwartbares Timing-Problem dokumentieren, Client-Netzwerkwechsel und DHCP/DNS prüfen
Clients verwenden externe DNS-ResolverDNS per DHCP, Policy oder Endpoint-Konfiguration vereinheitlichen
Interne Domains funktionieren nur teilweiseDNS Request Routes oder internes DNS-Forwarding prüfen
Drittanbieter-geschützte Clients betroffenHeartbeat-Bedingung aus der Regel entfernen oder separate Regel verwenden
Sophos Endpoint offline oder fehlerhaftEndpoint reparieren, neu registrieren oder Central-Status bereinigen
Regel gilt für zu viele GeräteQuellobjekte, Zonen und Benutzergruppen enger fassen

Eine Korrektur sollte zum Betriebsmodell passen. In einer reinen Sophos-Endpoint-Umgebung kann Heartbeat als harte Zugriffsvoraussetzung sinnvoll sein. In gemischten Umgebungen ist Heartbeat eher ein gezieltes Kontrollinstrument für bestimmte Clientgruppen.

Checkliste

  • Betroffene Geräte senden grundsätzlich Sophos Security Heartbeat.
  • Firewall und Endpoint sind im richtigen Sophos Central Tenant.
  • Traffic läuft über die Firewall, die den Heartbeat erwartet.
  • DNS-Server und DNS Request Routes sind dokumentiert.
  • Firewall-Regeln erzwingen Heartbeat nur für passende Quellen.
  • Geräte ohne Sophos Endpoint haben eigene Regeln oder Ausnahmen.
  • Log Viewer, Endpoint Events und Alert-Zeitpunkt wurden gemeinsam geprüft.
  • Wiederkehrende Alerts wurden nach Netzwerkwechseln, VPN und DNS-Mustern gruppiert.

Häufige Fragen

Ist ein Missing Heartbeat Alert automatisch ein Sicherheitsvorfall?

Nein. Der Alert zeigt zuerst, dass die Firewall Traffic sieht, aber keinen passenden Security Heartbeat erhält. Das kann ein echtes Endpoint-Problem sein, entsteht aber auch durch Netzwerkwechsel, DNS-Design oder Geräte ohne Sophos Endpoint.

Warum treten Missing Heartbeat Alerts oft bei Notebooks auf?

Notebooks wechseln häufig zwischen LAN, WLAN, VPN und externen Netzen. Während solcher Wechsel können noch DNS-Anfragen oder Hintergrundverbindungen sichtbar sein, obwohl der Heartbeat-Pfad bereits anders aussieht.

Kann Microsoft Defender einen Sophos Security Heartbeat senden?

Nein. Security Heartbeat ist eine Sophos-Funktion zwischen Sophos Endpoint, Sophos Central und Sophos Firewall. Geräte mit Microsoft Defender oder einem anderen EDR können geschützt sein, liefern aber keinen Sophos Heartbeat.

Sollte man Clients ohne Heartbeat immer blockieren?

Nur wenn das bewusst zum Regel- und Endpoint-Konzept passt. In gemischten Netzen würden sonst auch legitime Geräte ohne Sophos Endpoint betroffen sein, zum Beispiel Drucker, IoT, Gäste, Server oder Clients mit anderer Endpoint-Lösung.

Welche Logs helfen bei Heartbeat-Problemen?

Zuerst helfen Log Viewer, betroffene Firewall-Regel und Sophos Central Endpoint Events. Für tieferes Troubleshooting sind auf der Firewall vor allem heartbeatd.log und hbtrust.log relevant.