Naar de inhoud
Avanet

Controleer de Sophos Firewall ontbrekende hartslagwaarschuwingen correct

Sophos-firewall

Ontbrekende hartslagwaarschuwingen op Sophos Firewall of Sophos Central betekenen niet automatisch dat een eindpunt is aangetast. De waarschuwing betekent eerst: De firewall ziet netwerkverkeer van een apparaat, maar ontvangt geen geschikte beveiligingshartslag. Dit is een belangrijk verschil. Een ontbrekende hartslag kan een echt beveiligingsprobleem zijn, bijvoorbeeld als Sophos Endpoint niet actief is of een apparaat niet correct is verbonden met Sophos Central. In de praktijk komen veel berichten echter voort uit netwerkwijzigingen, DNS-ontwerp, apparaten buiten het firewallpad of firewallregels die de beveiligingshartslag te breed afdwingen. Het artikel classificeert Missing Heartbeat Alerts als een controlepunt: eindpuntstatus, verkeerspad, DNS-ontwerp, firewallregel en Sophos Central-gezondheid moeten samen worden beschouwd.

Kort antwoord

Een ontbrekende hartslagwaarschuwing moet worden gecontroleerd, maar mag niet blindelings worden behandeld als een geval van malware. Eerst verduidelijk je:

  • Is Sophos Endpoint geïnstalleerd en actief op het getroffen apparaat?
  • Gaat het verkeer werkelijk door dezelfde Sophos-firewall die de hartslag verwacht?
  • Heeft het apparaat zojuist gewisseld tussen LAN, WLAN, VPN of een extern netwerk?
  • Maakt het apparaat gebruik van externe DNS-resolvers, ook al ziet de firewall het DNS-verkeer?
  • Dwingt een firewallregel Security Heartbeat af voor apparaten die helemaal geen hartslag kunnen verzenden? Wanneer er kort na netwerkwijzigingen, dockingstationwijzigingen of Wi-Fi/LAN-switches meerdere waarschuwingen optreden, ligt de nadruk meestal op het ontwerp en de timing, en niet op een enkele geïnfecteerde client.

Wat een ontbrekende hartslag betekent

Beveiliging Heartbeat is onderdeel van Gesynchroniseerde Beveiliging. Sophos Endpoint en Sophos Firewall rapporteren beveiligingsrelevante statusinformatie via Sophos Central. De firewall kan deze status gebruiken in regels, bijvoorbeeld om apparaten met een rode hartslag te beperken. Er treedt een ontbrekende hartslagwaarschuwing op wanneer de firewall verkeer aan een apparaat toewijst, maar geen overeenkomende hartslag ziet. Dit kan verschillende redenen hebben:

  • Het eindpunt verzendt geen hartslag.
  • Het verkeer komt van een apparaat zonder Sophos Endpoint.
  • De client bevindt zich niet achter dezelfde firewall.
  • De firewall ziet slechts een deel van het verkeer.
  • DNS- of netwerkwijzigingen zorgen voor korte tijd voor een onvolledig beeld. De basisfunctie staat beschreven in het artikel Connect Sophos Firewall to Sophos Central. Als Security Heartbeat wordt gebruikt in firewallregels, past Maak en begrijp Sophos Firewall-regels ook.

Typische oorzaken

VeroorzaaktWaarom de waarschuwing kan ontstaanVolgende controle
Schakel tussen LAN en WLANDe firewall ziet nog steeds verkeer van het ene IP-adres terwijl het eindpunt al via een andere interface werktVergelijk de waarschuwingstijd met de wijziging in het clientnetwerk
Notitieboekje buiten de siteHet eindpunt is online, maar het verkeer gaat niet door de verwachte firewallControleer of de client werkt via VPN, ander WLAN of extern netwerk
Externe DNS-resolversDe firewall ziet DNS-verkeer of vervolgverkeer, maar de hartslag komt niet precies overeen met het padControleer de DNS-server op client, DHCP en firewall
Apparaat zonder Sophos EndpointPrinters, IoT, servers of door derden beschermde clients verzenden geen Sophos HeartbeatControleer de firewallregel en bronobjecten
Sophos Endpoint gestopt of kapotDe klant kan geen hartslag leverenControleer de eindpuntstatus in Sophos Central en lokale services
Hartslagconditie te breedEen regel blokkeert of waarschuwt apparaten waarvoor Heartbeat nooit was geplandControleer de regel voor gebruiker, host en zonebereik

De waarschuwing wordt vooral vaak verkeerd begrepen wanneer Microsoft Defender of een ander EDR-product in gebruik is. Dergelijke apparaten zijn mogelijk goed beveiligd, maar sturen geen Sophos-beveiligingshartslag. Heartbeat-gebaseerde regels zouden daarom alleen moeten gelden waar Sophos Endpoint echt een vereiste is.

Controleer het DNS-ontwerp

DNS-verkeer is een typische trigger voor ontbrekende hartslagwaarschuwingen, omdat apparaten vaak DNS-query’s of korte achtergrondverbindingen blijven genereren tijdens netwerkwijzigingen. Wanneer clients externe DNS-resolvers gebruiken, kan de firewall verkeer zien zonder een duidelijke match tussen hartslag, clientpad en beleidsontwerp. In omgevingen met Security Heartbeat is het daarom belangrijk dat het DNS-ontwerp bewust is:

  • Welke DNS-servers ontvangen clients via DHCP?
  • Maken beheerde clients gebruik van de firewall, interne DNS-servers of externe resolvers?
  • Lopen interne domeinen via DNS-verzoekroutes?
  • Zijn er VPN-profielen, WLAN’s of gastnetwerken met verschillende DNS-servers?
  • Zijn er browser- of eindpuntfuncties die DNS langs de lokale solver sturen? Wanneer klanten de Sophos Firewall als DNS-forwarder gebruiken, moeten interne domeinen worden opgelost met behulp van de juiste DNS-verzoekroutes. De stroom bevindt zich in Configureer DNS-verzoekroutes op Sophos Firewall. Aan de andere kant, als clients rechtstreeks interne DNS-servers gebruiken, is dat ook legitiem. Maar dan moet je niet verwachten dat een DNS-verzoekroute op de firewall elke clientquery beïnvloedt. Waar het om gaat is welke oplosser daadwerkelijk wordt gebruikt vanuit het perspectief van de klant.

Controleer de firewallregels met hartslag

Beveiliging Heartbeat mag niet terloops in elke clientregel worden ingebouwd. Een hartslagconditie is een toegangsvereiste. Als er apparaten zijn zonder Sophos Endpoint, gemengde eindpuntstrategieën of speciale netwerken, zal een te brede regel snel leiden tot false positives of onverwachte blokkades. Nuttige vragen om regels te controleren:

  1. Welke regel genereert de waarschuwing of blokkeert het verkeer?

  2. Is Gesynchroniseerde beveiligingshartslag configureren actief in deze regel?

  3. Geldt de regel alleen voor door Sophos beheerde eindpuntapparaten?

  4. Zijn er uitzonderingen voor printers, scanners, IoT, servers, gasten of EDR van derden?

  5. Is hartslag vereist voor bron, bestemming of beide kanten?

  6. Bestaat er een aparte regel voor apparaten die geen hartslag kunnen geven? Voor de feitelijke regelanalyse helpen Test firewallregel met Log Viewer, Policy Test en Packet Capture en Sophos Firewall-regel werkt niet: controleer oorzaken.

Controleer logs en centraal

Voor individuele alerts is de timing vaak voldoende. Voor terugkerende waarschuwingen dient u de firewall, Sophos Central en Endpoint samen te controleren. Deze plaatsen zijn nuttig in de firewall:

  • Log Viewer: Controleer verkeer, firewallregel, web, DNS en systeemgebeurtenissen rond de waarschuwingstijd.

  • Beschermen > Regels en beleid > Firewallregels: controleer de getroffen regel en hartslagconditie.

  • Systeem > Sophos Central: Controleer centrale registratie en geactiveerde services.

  • Diagnostiek > Pakketopname: controleer of het verkeer echt door de firewall gaat.

  • Geavanceerde Shell: evalueer heartbeatd.log en hbtrust.log indien nodig. De belangrijkste servicelogboeken worden verzameld in Zoek en organiseer Sophos Firewall servicelogboeken. In Sophos Central controleer je ook:

  • Is het eindpunt online?

  • Heeft het eindpunt een groene, gele of rode status?

  • Zijn er tegelijkertijd eindpuntgebeurtenissen?

  • Is de computer duplicaat, verouderd of zichtbaar in de verkeerde tenant?

  • Is het eindpunt onlangs opnieuw geïnstalleerd, hernoemd, verwijderd of verplaatst? Als de firewall niet goed is verbonden met Sophos Central, moet eerst de Central-verbinding zelf worden gecontroleerd. Dit past bij Connect Sophos Firewall to Sophos Central.

Stroom voor probleemoplossing

Een compact proces voorkomt dat u meteen op de verkeerde plaats zoekt.

  1. Noteer de waarschuwingstijd, clientnaam, IP-adres, gebruiker en betreffende regel.

  2. Controleer in Sophos Central of het eindpunt tegelijkertijd online en in goede staat was.

  3. Controleer op de client of Sophos Endpoint is geïnstalleerd, up-to-date en verbonden.

  4. Controleer het netwerkpad: LAN, WLAN, VPN, dockingstation, ander locatienetwerk of extern netwerk.

  5. Controleer de DNS-server van de klant en vergelijk deze met het verwachte ontwerp.

  6. Controleer in de firewallregel of Security Heartbeat bewust en strak genoeg is ingesteld.

  7. Controleer in de logviewer welk verkeer de waarschuwing heeft geactiveerd.

  8. Evalueer pakketregistratie en hartslaglogboeken voor terugkerende gevallen.

  9. Pas de regel of het DNS-ontwerp aan als de waarschuwing voortkomt uit normale bedrijfsvoering. De volgorde is belangrijk: maak eerst duidelijk of de client een hartslag kan leveren en of het verkeer door de verwachte firewall gaat. Alleen dan is het de moeite waard om individuele logs in detail te analyseren.

Typische oplossingen

BevindingenVerstandige maatregel
Waarschuwingen alleen bij het wijzigen van LAN/WLANDocumenteer als een verwacht timingprobleem, controleer clientnetwerkwijzigingen en DHCP/DNS
Clients gebruiken externe DNS-resolversVerenig DNS via DHCP, beleid of eindpuntconfiguratie
Interne domeinen werken slechts gedeeltelijkControleer DNS-verzoekroutes of interne DNS-forwarding
Beveiligde clients van derden getroffenVerwijder de hartslagvoorwaarde uit de regel of gebruik een afzonderlijke regel
Sophos Endpoint offline of defectRepareer, registreer het endpoint opnieuw of ruim de centrale status op
Regel is van toepassing op te veel apparatenBeperkte bronobjecten, zones en gebruikersgroepen

Een correctie moet passen bij het bedrijfsmodel. In een pure Sophos-eindpuntomgeving kan Heartbeat zinvol zijn als harde toegangsvereiste. In gemengde omgevingen is Heartbeat meer een gericht controlemiddel voor specifieke klantgroepen.

Controlelijst

  • Betrokken apparaten sturen altijd Sophos Security Heartbeat.
  • Firewall en endpoint bevinden zich in de juiste Sophos Central-tenant.
  • Verkeer gaat door de firewall, die de hartslag verwacht.
  • DNS-servers en DNS-verzoekroutes zijn gedocumenteerd.
  • Firewallregels dwingen alleen hartslag af voor overeenkomende bronnen.
  • Apparaten zonder Sophos Endpoint hebben hun eigen regels of uitzonderingen.
  • Logviewer, eindpuntgebeurtenissen en waarschuwingstijd werden samen gecontroleerd.
  • Terugkerende waarschuwingen zijn gegroepeerd op netwerkwijzigingen, VPN- en DNS-patronen.

Veelgestelde vragen

Is een ontbrekende hartslagwaarschuwing automatisch een beveiligingsincident?

Nee. De waarschuwing laat eerst zien dat de firewall verkeer ziet, maar geen overeenkomstige beveiligingshartslag ontvangt. Dit kan een echt eindpuntprobleem zijn, maar kan ook worden veroorzaakt door netwerkwijzigingen, DNS-ontwerp of apparaten zonder Sophos Endpoint.

Waarom komen ontbrekende hartslagwaarschuwingen vaak voor op notebooks?

Notebooks schakelen vaak tussen LAN, WLAN, VPN en externe netwerken. Tijdens dergelijke wisselingen kunnen DNS-verzoeken of achtergrondverbindingen nog steeds zichtbaar zijn, ook al ziet het hartslagpad er al anders uit.

Kan Microsoft Defender een Sophos Security-hartslag sturen?

Nee. Security Heartbeat is een Sophos-functie tussen Sophos Endpoint, Sophos Central en Sophos Firewall. Apparaten met Microsoft Defender of een andere EDR zijn mogelijk beveiligd, maar bieden geen Sophos Heartbeat.

Moet je klanten altijd zonder hartslag blokkeren?

Alleen als het bewust past bij het regel- en eindpuntconcept. In gemengde netwerken zouden ook legitieme apparaten zonder Sophos Endpoint getroffen worden, bijvoorbeeld printers, IoT, gasten, servers of clients met een andere eindpuntoplossing.

Welke logs helpen bij hartslagproblemen?

Log Viewer, getroffen firewallregel en Sophos Central Endpoint Events helpen eerst. Voor diepere probleemoplossing zijn heartbeatd.log en hbtrust.log met name relevant voor de firewall.