Przejdz do tresci
Avanet

Prawidłowo sprawdź alerty braku pulsu zapory Sophos

Zapora sieciowa Sophos

Alerty braku pulsu w Sophos Firewall lub Sophos Central nie oznaczają automatycznie, że punkt końcowy został naruszony. Alert pierwszy oznacza: Zapora widzi ruch sieciowy z urządzenia, ale nie otrzymuje odpowiedniego sygnału bezpieczeństwa. To istotna różnica. Brakujący puls może być prawdziwym problemem ochrony, na przykład jeśli Sophos Endpoint nie jest uruchomiony lub urządzenie nie jest prawidłowo podłączone do Sophos Central. W praktyce jednak wiele komunikatów wynika ze zmian w sieci, projektu DNS, urządzeń znajdujących się poza ścieżką zapory lub reguł zapory, które zbyt szeroko wymuszają puls bezpieczeństwa. Artykuł klasyfikuje alerty braku pulsu jako punkt kontrolny: stan punktu końcowego, ścieżkę ruchu, projekt DNS, regułę zapory sieciowej i stan Sophos Central należy rozpatrywać łącznie.

Krótka odpowiedź

Należy sprawdzić alert o braku pulsu, ale nie traktować go ślepo jako przypadek złośliwego oprogramowania. Najpierw wyjaśnij:

  • Czy Sophos Endpoint jest zainstalowany i aktywny na urządzeniu, którego dotyczy problem?
  • Czy ruch rzeczywiście przechodzi przez tę samą zaporę sieciową Sophos, która oczekuje pulsu?
  • Czy urządzenie właśnie przełączyło się pomiędzy siecią LAN, WLAN, VPN lub siecią zewnętrzną?
  • Czy urządzenie korzysta z zewnętrznych programów rozpoznawania nazw DNS, mimo że zapora widzi ruch DNS? — Czy reguła zapory wymusza funkcję Security Heartbeat w przypadku urządzeń, które w ogóle nie mogą wysyłać pulsu? Gdy wkrótce po zmianach sieci, zmianach stacji dokującej lub przełącznikach Wi-Fi/LAN pojawia się wiele alertów, zwykle skupiamy się na projekcie i czasie, a nie na pojedynczym zainfekowanym kliencie.

Co oznacza brakujące bicie serca

Security Heartbeat jest częścią Synchronized Security. Sophos Endpoint i Sophos Firewall raportują informacje o stanie istotne dla bezpieczeństwa za pośrednictwem Sophos Central. Zapora sieciowa może wykorzystać ten stan w regułach, na przykład w celu ograniczenia dostępu urządzeń z czerwonym pulsem. Alert o braku pulsu pojawia się, gdy zapora przydziela ruch do urządzenia, ale nie widzi pasującego pulsu. Może to mieć kilka przyczyn:

  • Punkt końcowy nie wysyła sygnału pulsu.
  • Ruch pochodzi z urządzenia bez Sophos Endpoint.
  • Klient nie znajduje się za tą samą zaporą ogniową.
  • Zapora widzi tylko część ruchu.
  • Zmiany DNS lub sieci powodują, że obraz jest niekompletny na krótki czas. Podstawowa funkcja jest opisana w artykule Połącz Sophos Firewall z Sophos Central. Jeśli w regułach zapory sieciowej używany jest Security Heartbeat, opcja Utwórz i zrozum reguły Sophos Firewall również będzie pasować.

Typowe przyczyny

SpowodowanyDlaczego może pojawić się alertNastępna kontrola
Przełączaj pomiędzy siecią LAN i WLANZapora nadal widzi ruch z jednego adresu IP, podczas gdy punkt końcowy działa już przez inny interfejsPorównaj czas alertu ze zmianą sieci klienta
Notatnik poza witrynąPunkt końcowy jest w trybie online, ale ruch nie przechodzi przez oczekiwaną zaporęSprawdź, czy klient działa poprzez VPN, inną sieć WLAN lub sieć zewnętrzną
Zewnętrzne programy rozpoznawania nazw DNSZapora widzi ruch DNS lub ruch uzupełniający, ale puls nie odpowiada ścieżceSprawdź serwer DNS pod kątem klienta, DHCP i zapory sieciowej
Urządzenie bez punktu końcowego SophosDrukarki, IoT, serwery lub klienci chronieni przez strony trzecie nie wysyłają Sophos HeartbeatSprawdź regułę zapory sieciowej i obiekty źródłowe
Punkt końcowy Sophos został zatrzymany lub uszkodzonyKlient nie może dostarczyć bicia sercaSprawdź status punktu końcowego w usługach Sophos Central i lokalnych
Stan bicia serca jest zbyt szerokiReguła blokuje lub ostrzega urządzenia, dla których funkcja Heartbeat nigdy nie była zaplanowanaSprawdź regułę dla użytkownika, hosta i zakresu strefy

Alert jest szczególnie często źle zrozumiany, gdy używany jest program Microsoft Defender lub inny produkt EDR. Takie urządzenia mogą być odpowiednio chronione, ale nie wysyłają sygnału bezpieczeństwa Sophos. Reguły oparte na pulsie powinny zatem mieć zastosowanie tylko wtedy, gdy punkt końcowy Sophos jest naprawdę wymagany.

Sprawdź projekt DNS

Ruch DNS jest typowym wyzwalaczem alertów o braku pulsu, ponieważ urządzenia często w dalszym ciągu generują zapytania DNS lub krótkie połączenia w tle podczas zmian w sieci. Gdy klienci korzystają z zewnętrznych programów rozpoznawania nazw DNS, zapora może wykryć ruch bez dokładnego dopasowania pulsu, ścieżki klienta i projektu zasad. Dlatego w środowiskach z Security Heartbeat ważne jest, aby projekt DNS był świadomy:

  • Które serwery DNS klienci otrzymują poprzez DHCP?
  • Czy zarządzani klienci korzystają z zapory sieciowej, wewnętrznych serwerów DNS lub zewnętrznych programów rozpoznawania nazw?
  • Czy domeny wewnętrzne działają poprzez trasy żądań DNS?
  • Czy istnieją profile VPN, sieci WLAN lub sieci gościnne z różnymi serwerami DNS?
  • Czy istnieją funkcje przeglądarki lub punktu końcowego, które przesyłają DNS przez lokalny moduł rozpoznawania nazw? Gdy klienci korzystają z zapory Sophos jako usługi przesyłania dalej DNS, domeny wewnętrzne muszą być rozpoznawane przy użyciu odpowiednich tras żądań DNS. Przebieg odbywa się w opcji Konfiguruj trasy żądań DNS w zaporze Sophos. Z drugiej strony, jeśli klienci korzystają bezpośrednio z wewnętrznych serwerów DNS, jest to również uzasadnione. Nie należy jednak oczekiwać, że trasa żądania DNS na zaporze będzie miała wpływ na każde zapytanie klienta. Liczy się to, który program rozpoznawania nazw jest faktycznie używany z punktu widzenia klienta.

Sprawdź reguły zapory sieciowej za pomocą pulsu

Funkcja Security Heartbeat nie powinna być przypadkowo wbudowana w każdą regułę klienta. Warunek pulsu jest wymogiem dostępu. Jeśli istnieją urządzenia bez Sophos Endpoint, mieszane strategie dotyczące punktów końcowych lub specjalne sieci, zbyt ogólna reguła szybko doprowadzi do fałszywych alarmów lub nieoczekiwanych blokad. Przydatne pytania do sprawdzania reguł:

  1. Która reguła generuje alert lub blokuje ruch?

  2. Czy w tej regule jest aktywna opcja Konfiguruj zsynchronizowany puls zabezpieczeń?

  3. Czy zasada dotyczy tylko urządzeń końcowych zarządzanych przez Sophos?

  4. Czy są jakieś wyjątki dotyczące drukarek, skanerów, IoT, serwerów, gości lub EDR innych firm?

  5. Czy wymagane jest pulsowanie dla źródła, miejsca docelowego czy obu stron?

  6. Czy istnieje osobna zasada dotycząca urządzeń, które nie mogą zapewnić bicia serca? Aby przeprowadzić rzeczywistą analizę reguł, należy skorzystać z pomocy Przetestuj regułę zapory sieciowej za pomocą przeglądarki dzienników, testu zasad i przechwytywania pakietów oraz Reguła zapory sieciowej Sophos nie działa: sprawdź przyczyny.

Sprawdź dzienniki i centralę

W przypadku ostrzeżeń indywidualnych termin jest często wystarczający. W przypadku powtarzających się alertów należy sprawdzić jednocześnie zaporę sieciową, Sophos Central i Endpoint. Te miejsca są pomocne w zaporze sieciowej:

  • Przeglądarka dziennika: sprawdza ruch, regułę zapory sieciowej, zdarzenia sieciowe, DNS i systemowe w okolicach czasu alertu.

  • Chroń > Reguły i zasady > Reguły zapory sieciowej: sprawdź regułę, której dotyczy problem, oraz stan pulsu.

  • System > Sophos Central: Sprawdź rejestrację Central i aktywowane usługi.

  • Diagnostyka > Przechwytywanie pakietów: sprawdź, czy ruch rzeczywiście przechodzi przez zaporę ogniową.

  • Advanced Shell: w razie potrzeby sprawdź heartbeatd.log i hbtrust.log. Najważniejsze dzienniki usług są zebrane w Znajdź i uporządkuj dzienniki usług Sophos Firewall. W Sophos Central sprawdzisz także:

  • Czy punkt końcowy jest online?

  • Czy punkt końcowy ma status zielony, żółty lub czerwony?

  • Czy w tym samym czasie występują zdarzenia końcowe?

  • Czy komputer jest zduplikowany, nieaktualny lub widoczny u niewłaściwego najemcy?

  • Czy punkt końcowy został niedawno ponownie zainstalowany, zmieniono jego nazwę, został usunięty lub przeniesiony? Jeżeli zapora sieciowa nie jest prawidłowo połączona z Sophos Central, w pierwszej kolejności należy sprawdzić samo połączenie Central. Pasuje to do Połącz zaporę sieciową Sophos z Sophos Central.

Rozwiązywanie problemów

Kompaktowy proces zapobiega natychmiastowemu wyszukiwaniu w niewłaściwym miejscu.

  1. Zanotuj czas alertu, nazwę klienta, adres IP, użytkownika i regułę, której dotyczy problem.

  2. W Sophos Central sprawdź, czy punkt końcowy był jednocześnie online i sprawny.

  3. Sprawdź na kliencie, czy Sophos Endpoint jest zainstalowany, aktualny i podłączony.

  4. Sprawdź ścieżkę sieciową: LAN, WLAN, VPN, stacja dokująca, sieć w innej lokalizacji lub sieć zewnętrzna.

  5. Sprawdź serwer DNS klienta i porównaj go z oczekiwanym projektem.

  6. Sprawdź w regule zapory sieciowej, czy Security Heartbeat jest ustawiony celowo i wystarczająco mocno.

  7. Sprawdź w przeglądarce logów, który ruch wywołał alert.

  8. Oceń dzienniki przechwytywania pakietów i pulsu pod kątem powtarzających się przypadków.

  9. Dostosuj regułę lub projekt DNS, jeśli alert wynika z normalnych operacji. Kolejność jest ważna: Najpierw wyjaśnij, czy klient może dostarczyć puls i czy ruch przechodzi przez oczekiwaną zaporę. Tylko wtedy warto szczegółowo analizować poszczególne logi.

Typowe poprawki

UstaleniaRozsądny środek
Alerty tylko w przypadku zmiany sieci LAN/WLANUdokumentuj oczekiwany problem z synchronizacją, sprawdź zmiany w sieci klienta i DHCP/DNS
Klienci korzystają z zewnętrznych programów rozpoznawania nazw DNSUjednolić DNS poprzez konfigurację DHCP, zasad lub punktu końcowego
Domeny wewnętrzne działają tylko częściowoSprawdź trasy żądań DNS lub wewnętrzne przekazywanie DNS
Dotyczy to klientów chronionych przez strony trzecieUsuń warunek pulsu z reguły lub użyj osobnej reguły
Sophos Endpoint jest offline lub uszkodzonyNapraw, zarejestruj ponownie punkt końcowy lub wyczyść status centralny
Reguła dotyczy zbyt wielu urządzeńWąskie obiekty źródłowe, strefy i grupy użytkowników

Korekta powinna być dostosowana do modelu operacyjnego. W czystym środowisku punktów końcowych Sophos Heartbeat może mieć sens jako wymóg twardego dostępu. W środowiskach mieszanych Heartbeat jest bardziej ukierunkowanym narzędziem kontroli dla określonych grup klientów.

Lista kontrolna

  • Zagrożone urządzenia zawsze wysyłają sygnał Sophos Security Heartbeat.
  • Zapora sieciowa i punkt końcowy znajdują się we właściwym dzierżawie Sophos Central.
  • Ruch przechodzi przez zaporę sieciową, która oczekuje bicia serca.
  • Serwery DNS i trasy żądań DNS są udokumentowane.
  • Reguły zapory wymuszają puls tylko dla pasujących źródeł.
  • Urządzenia bez Sophos Endpoint mają swoje własne zasady i wyjątki.
  • Przeglądarka dziennika, zdarzenia na punktach końcowych i czas alertu zostały sprawdzone łącznie.
  • Powtarzające się alerty zostały pogrupowane według zmian w sieci, wzorców VPN i DNS.

Często zadawane pytania

Czy alert o braku pulsu jest automatycznie incydentem bezpieczeństwa?

Nie. Alert pokazuje najpierw, że zapora widzi ruch, ale nie otrzymuje pasującego sygnału pulsu zabezpieczeń. Może to być prawdziwy problem z punktem końcowym, ale może być również spowodowany zmianami w sieci, projektem DNS lub urządzeniami bez Sophos Endpoint.

Dlaczego na notebookach często pojawiają się alerty o braku pulsu?

Notebooki często przełączają się między sieciami LAN, WLAN, VPN i sieciami zewnętrznymi. Podczas takich przełączeń żądania DNS lub połączenia w tle mogą być nadal widoczne, mimo że ścieżka pulsu wygląda już inaczej.

Czy usługa Microsoft Defender może wysłać puls Sophos Security?

Nie. Security Heartbeat to funkcja Sophos dostępna pomiędzy Sophos Endpoint, Sophos Central i Sophos Firewall. Urządzenia z Microsoft Defender lub innym EDR mogą być chronione, ale nie zapewniają Sophos Heartbeat.

Czy zawsze należy blokować klientów bez bicia serca?

Tylko jeśli świadomie pasuje do koncepcji reguły i punktu końcowego. W sieciach mieszanych będzie to miało również wpływ na legalne urządzenia bez Sophos Endpoint, na przykład drukarki, IoT, goście, serwery lub klienci z innym rozwiązaniem dla punktów końcowych.

Które dzienniki pomagają w przypadku problemów z biciem serca?

Przeglądarka logów, dotknięta reguła zapory sieciowej i Sophos Central Endpoint Events pomagają w pierwszej kolejności. W przypadku głębszego rozwiązywania problemów, heartbeatd.log i hbtrust.log są szczególnie przydatne na zaporze.