Saltar para o conteudo
Avanet

Verifique corretamente os alertas de pulsação ausentes do Sophos Firewall

Firewall Sophos

Alertas de Heartbeat ausentes no Sophos Firewall ou Sophos Central não significam automaticamente que um endpoint está comprometido. O alerta significa primeiro: O firewall vê o tráfego de rede de um dispositivo, mas não recebe uma pulsação de segurança adequada. Esta é uma diferença importante. Uma pulsação ausente pode ser um problema real de proteção, por exemplo, se o Sophos Endpoint não estiver em execução ou se um dispositivo não estiver conectado corretamente ao Sophos Central. Na prática, porém, muitas mensagens surgem de alterações na rede, no design do DNS, em dispositivos fora do caminho do firewall ou em regras de firewall que impõem a pulsação da segurança de forma muito ampla. O artigo classifica Missing Heartbeat Alerts como um ponto de verificação: o status do endpoint, o caminho do tráfego, o design do DNS, a regra de firewall e a integridade do Sophos Central devem ser considerados em conjunto.

Resposta curta

Um alerta de pulsação ausente deve ser verificado, mas não tratado cegamente como um caso de malware. Primeiro você esclarece:

  • O Sophos Endpoint está instalado e ativo no dispositivo afetado?
  • O tráfego está realmente passando pelo mesmo firewall Sophos que espera a pulsação?
  • O dispositivo acabou de alternar entre LAN, WLAN, VPN ou uma rede externa?
  • O dispositivo usa resolvedores DNS externos mesmo que o firewall veja o tráfego DNS?
  • Uma regra de firewall impõe o Security Heartbeat para dispositivos que não conseguem enviar nenhum heartbeat? Quando vários alertas ocorrem logo após alterações na rede, alterações na estação de acoplamento ou switches Wi-Fi/LAN, o foco geralmente está no design e no tempo, e não em um único cliente infectado.

O que significa falta de batimento cardíaco

O Security Heartbeat faz parte da Segurança Sincronizada. O Sophos Endpoint e o Sophos Firewall reportam informações de status relevantes para a segurança por meio do Sophos Central. O firewall pode usar esse status em regras, por exemplo, para restringir dispositivos com pulsação vermelha. Um alerta de pulsação ausente ocorre quando o firewall atribui tráfego a um dispositivo, mas não vê uma pulsação correspondente. Isso pode ter vários motivos:

  • O endpoint não envia uma pulsação.
  • O tráfego vem de um dispositivo sem Sophos Endpoint.
  • O cliente não está protegido pelo mesmo firewall.
  • O firewall vê apenas parte do tráfego.
  • Alterações de DNS ou de rede criam uma imagem incompleta por um curto período de tempo. A função básica está classificada no artigo Conectar o Sophos Firewall ao Sophos Central. Se o Security Heartbeat for usado em regras de firewall, Criar e entender as regras do Sophos Firewall também será adequado.

Causas típicas

CausadoPor que o alerta pode surgirPróxima verificação
Alternar entre LAN e WLANO firewall ainda vê o tráfego de um IP enquanto o endpoint já está funcionando por meio de outra interfaceCompare o tempo de alerta com a mudança na rede do cliente
Caderno fora do localO endpoint está online, mas o tráfego não passa pelo firewall esperadoVerifique se o cliente está funcionando via VPN, outra WLAN ou rede externa
Resolvedores DNS externosO firewall vê o tráfego DNS ou o tráfego de acompanhamento, mas a pulsação não corresponde ao caminho corretamenteVerifique o servidor DNS para cliente, DHCP e firewall
Dispositivo sem Sophos EndpointImpressoras, IoT, servidores ou clientes protegidos de terceiros não enviam Sophos HeartbeatVerifique a regra do firewall e os objetos de origem
Sophos Endpoint parado ou quebradoO cliente não pode entregar uma pulsaçãoVerifique o status do endpoint no Sophos Central e nos serviços locais
Condição de batimento cardíaco muito amplaUma regra bloqueia ou alerta dispositivos para os quais o Heartbeat nunca foi programadoVerifique a regra para o escopo do usuário, do host e da zona

O alerta é frequentemente mal interpretado quando o Microsoft Defender ou outro produto EDR está em uso. Esses dispositivos podem estar devidamente protegidos, mas não enviam um sinal de segurança da Sophos. As regras baseadas em pulsação devem, portanto, ser aplicadas apenas quando o Sophos Endpoint for realmente um requisito.

Verifique o design do DNS

O tráfego DNS é um gatilho típico para alertas de pulsação ausentes porque os dispositivos muitas vezes continuam a gerar consultas DNS ou conexões curtas em segundo plano durante mudanças na rede. Quando os clientes usam resolvedores DNS externos, o firewall pode ver o tráfego sem uma correspondência clara entre pulsação, caminho do cliente e design de política. Em ambientes com Security Heartbeat é portanto importante que o design do DNS seja consciente:

  • Quais servidores DNS os clientes recebem via DHCP?
  • Os clientes gerenciados usam firewall, servidores DNS internos ou resolvedores externos?
  • Os domínios internos são executados através de rotas de solicitação de DNS?
  • Existem perfis VPN, WLANs ou redes convidadas com diferentes servidores DNS?
  • Existem funções de navegador ou de endpoint que enviam DNS para além do resolvedor local? Quando os clientes usam o Sophos Firewall como encaminhador de DNS, os domínios internos devem ser resolvidos usando rotas de solicitação de DNS apropriadas. O fluxo está em Configurar rotas de solicitação de DNS no Sophos Firewall. Por outro lado, se os clientes usarem servidores DNS internos diretamente, isso também será legítimo. Mas você não deve esperar que uma rota de solicitação de DNS no firewall influencie todas as consultas do cliente. O que importa é qual resolvedor é realmente usado na perspectiva do cliente.

Verifique as regras do firewall com pulsação

O Security Heartbeat não deve ser incorporado casualmente em todas as regras do cliente. Uma condição de pulsação é um requisito de acesso. Se houver dispositivos sem Sophos Endpoint, estratégias mistas de endpoint ou redes especiais, uma regra muito ampla levará rapidamente a falsos positivos ou bloqueios inesperados. Perguntas úteis para verificar regras:

  1. Qual regra gera o alerta ou bloqueia o tráfego?

  2. Configure Synchronized Security Heartbeat está ativo nesta regra?

  3. A regra se aplica apenas a dispositivos endpoint gerenciados pela Sophos?

  4. Há alguma exceção para impressoras, scanners, IoT, servidores, convidados ou EDR de terceiros?

  5. A pulsação é necessária para a origem, o destino ou ambos os lados?

  6. Existe uma regra separada para dispositivos que não conseguem fornecer batimentos cardíacos? Para a análise de regra real, Testar regra de firewall com Log Viewer, Teste de política e captura de pacotes e Regra de firewall Sophos não funciona: verificar causas ajudam.

Verifique os registros e a central

Para alertas individuais, o tempo é muitas vezes suficiente. Para alertas recorrentes, você deve verificar o firewall, o Sophos Central e o Endpoint juntos. Estes locais são úteis no firewall:

  • Visualizador de logs: verifique tráfego, regras de firewall, web, DNS e eventos do sistema próximo ao horário do alerta.

  • Proteger > Regras e políticas > Regras de firewall: verifique a regra afetada e a condição de pulsação.

  • Sistema > Sophos Central: Verifique o registro da Central e os serviços ativados.

  • Diagnóstico > Captura de pacotes: verifique se o tráfego realmente passa pelo firewall.

  • Shell Avançado: avalie heartbeatd.log e hbtrust.log se necessário. Os logs de serviço mais importantes são coletados em Localizar e organizar logs de serviço do Sophos Firewall. No Sophos Central você também confere:

  • O endpoint está online?

  • O endpoint tem status verde, amarelo ou vermelho?

  • Existem eventos de endpoint ao mesmo tempo?

  • O computador está duplicado, desatualizado ou visível no inquilino errado?

  • O endpoint foi reinstalado, renomeado, excluído ou movido recentemente? Se o firewall não estiver conectado corretamente ao Sophos Central, a própria conexão Central deverá ser verificada primeiro. Isso se aplica a Conectar o Sophos Firewall ao Sophos Central.

Fluxo de solução de problemas

Um processo compacto evita que você procure imediatamente no lugar errado.

  1. Anote o horário do alerta, nome do cliente, endereço IP, usuário e regra afetada.

  2. No Sophos Central, verifique se o endpoint estava online e íntegro ao mesmo tempo.

  3. No cliente, verifique se o Sophos Endpoint está instalado, atualizado e conectado.

  4. Verifique o caminho da rede: LAN, WLAN, VPN, docking station, outra rede local ou rede externa.

  5. Verifique o servidor DNS do cliente e compare-o com o design esperado.

  6. Verifique na regra do firewall se o Security Heartbeat está definido de forma deliberada e rigorosa o suficiente.

  7. Verifique no visualizador de log qual tráfego acionou o alerta.

  8. Avalie a captura de pacotes e os registros de pulsação para casos recorrentes.

  9. Ajuste a regra ou o design do DNS se o alerta surgir de operações normais. A ordem é importante: primeiro esclareça se o cliente pode entregar pulsação e se o tráfego passa pelo firewall esperado. Só então vale a pena analisar detalhadamente os logs individuais.

Correções típicas

DescobertasMedida sensata
Alertas apenas ao alterar LAN/WLANDocumente como um problema de tempo esperado, verifique as alterações na rede do cliente e no DHCP/DNS
Os clientes usam resolvedores DNS externosUnifique DNS via DHCP, política ou configuração de endpoint
Domínios internos funcionam apenas parcialmenteVerifique rotas de solicitação de DNS ou encaminhamento de DNS interno
Clientes protegidos de terceiros afetadosRemova a condição de pulsação da regra ou use uma regra separada
Sophos Endpoint off-line ou com defeitoRepare, registre novamente o endpoint ou limpe o status central
A regra se aplica a muitos dispositivosObjetos, zonas e grupos de usuários de origem restritos

Uma correção deve se adequar ao modelo operacional. Em um ambiente de endpoint Sophos puro, o Heartbeat pode fazer sentido como um requisito de acesso rígido. Em ambientes mistos, o Heartbeat é mais uma ferramenta de controle direcionada para grupos de clientes específicos.

Lista de verificação

  • Os dispositivos afetados sempre enviam Sophos Security Heartbeat.
  • O firewall e o endpoint estão no locatário correto do Sophos Central.
  • O tráfego passa pelo firewall, que espera a pulsação.
  • Os servidores DNS e as rotas de solicitação de DNS estão documentados.
  • As regras de firewall impõem pulsação apenas para fontes correspondentes.
  • Dispositivos sem Sophos Endpoint têm suas próprias regras ou exceções.
  • Visualizador de log, eventos de endpoint e tempo de alerta foram verificados juntos.
  • Alertas recorrentes foram agrupados por alterações de rede, padrões de VPN e DNS.

Perguntas frequentes

Um alerta de pulsação ausente é automaticamente um incidente de segurança?

Não. O alerta primeiro mostra que o firewall vê o tráfego, mas não recebe uma pulsação de segurança correspondente. Isso pode ser um problema real de endpoint, mas também pode ser causado por alterações de rede, design de DNS ou dispositivos sem Sophos Endpoint.

Por que os alertas de batimentos cardíacos ausentes ocorrem frequentemente em notebooks?

Os notebooks costumam alternar entre LAN, WLAN, VPN e redes externas. Durante essas mudanças, as solicitações de DNS ou as conexões em segundo plano ainda podem estar visíveis, mesmo que o caminho da pulsação já pareça diferente.

O Microsoft Defender pode enviar uma pulsação do Sophos Security?

Não. O Security Heartbeat é um recurso da Sophos entre o Sophos Endpoint, o Sophos Central e o Sophos Firewall. Dispositivos com Microsoft Defender ou outro EDR podem estar protegidos, mas não fornecem Sophos Heartbeat.

Você deve sempre bloquear clientes sem batimentos cardíacos?

Somente se se adequar conscientemente ao conceito de regra e ponto final. Em redes mistas, os dispositivos legítimos sem o Sophos Endpoint também seriam afetados, por exemplo, impressoras, IoT, convidados, servidores ou clientes com uma solução de endpoint diferente.

Quais registros ajudam com problemas de batimentos cardíacos?

Log Viewer, regra de firewall afetada e Sophos Central Endpoint Events ajudam primeiro. Para uma solução de problemas mais profunda, heartbeatd.log e hbtrust.log são particularmente relevantes no firewall.