Hoppa till innehållet
Avanet

Kontrollera Sophos Firewall Missing Heartbeat Alerts korrekt

Sophos brandvägg

Saknade Heartbeat Alerts på Sophos Firewall eller Sophos Central betyder inte automatiskt att en slutpunkt äventyras. Varningen betyder först: Brandväggen ser nätverkstrafik från en enhet, men tar inte emot ett lämpligt säkerhetspulsslag. Detta är en viktig skillnad. Ett uteblivet hjärtslag kan vara ett reellt skyddsproblem, till exempel om Sophos Endpoint inte körs eller en enhet inte är korrekt ansluten till Sophos Central. I praktiken uppstår dock många meddelanden från nätverksförändringar, DNS-design, enheter utanför brandväggsvägen eller brandväggsregler som upprätthåller säkerhetspulsen för brett. Artikeln klassificerar Missing Heartbeat Alerts som en kontrollpunkt: slutpunktsstatus, trafikväg, DNS-design, brandväggsregel och Sophos Central-hälsa måste beaktas tillsammans.

Kort svar

En missad hjärtslagsvarning bör kontrolleras, men inte blint behandlas som ett skadlig program. Först klargör du:

  • Är Sophos Endpoint installerad och aktiv på den berörda enheten? – Går trafiken verkligen genom samma Sophos-brandvägg som förväntar sig hjärtslag?

  • Bytte enheten precis mellan LAN, WLAN, VPN eller ett externt nätverk?

  • Använder enheten externa DNS-lösare trots att brandväggen ser DNS-trafiken?

  • Genomför en brandväggsregel Security Heartbeat för enheter som inte kan skicka ett hjärtslag alls? När flera varningar inträffar kort efter nätverksbyten, dockningsstationsbyten eller Wi-Fi/LAN-switchar ligger fokus vanligtvis på design och timing, inte en enda infekterad klient.

Vad Missing Heartbeat betyder

Säkerhet Heartbeat är en del av Synchronized Security. Sophos Endpoint och Sophos Firewall rapporterar säkerhetsrelevant statusinformation via Sophos Central. Brandväggen kan använda denna status i regler, till exempel för att begränsa enheter med rött hjärtslag. En missing heartbeat-larm uppstår när brandväggen tilldelar trafik till en enhet men inte ser ett matchande hjärtslag. Detta kan ha flera anledningar: – Endpointen skickar inte ett hjärtslag. – Trafiken kommer från en enhet utan Sophos Endpoint. – Klienten ligger inte bakom samma brandvägg. – Brandväggen ser bara en del av trafiken. – DNS- eller nätverksändringar skapar en ofullständig bild under en kort tid. Den grundläggande funktionen är klassificerad i artikeln Anslut Sophos Firewall till Sophos Central. Om Security Heartbeat används i brandväggsregler passar Skapa och förstå Sophos Firewall-regler också.

Typiska orsaker

OrsakatVarför larmet kan uppståNästa kontroll
Växla mellan LAN och WLANBrandväggen ser fortfarande trafik från en IP medan slutpunkten redan fungerar via ett annat gränssnittJämför tid för varning med förändring av klientnätverk
Anteckningsbok utanför webbplatsenSlutpunkten är online, men trafiken går inte genom den förväntade brandväggenKontrollera om klienten fungerar via VPN, annat WLAN eller externt nätverk
Externa DNS-lösareBrandväggen ser DNS-trafik eller uppföljningstrafik, men hjärtslaget stämmer inte överens med sökvägenKontrollera DNS-servern för klient, DHCP och brandvägg
Enhet utan Sophos EndpointSkrivare, IoT, servrar eller tredjepartsskyddade klienter skickar inte Sophos HeartbeatKontrollera brandväggsregel och källobjekt
Sophos Endpoint stoppade eller gick sönderKlienten kan inte ge ett hjärtslagKontrollera slutpunktsstatus i Sophos Central och lokala tjänster
Hjärtslagstillstånd för brettEn regel blockerar eller varnar enheter som Heartbeat aldrig har schemalagts förKontrollera regeln för användar-, värd- och zonomfång

Varningen missförstås särskilt ofta när Microsoft Defender eller annan EDR-produkt används. Sådana enheter kan vara ordentligt skyddade, men skickar inte ett Sophos-säkerhetshjärtslag. Hjärtslagsbaserade regler bör därför endast gälla där Sophos Endpoint verkligen är ett krav.

Kontrollera DNS-designen

DNS-trafik är en typisk trigger för missade hjärtslagsvarningar eftersom enheter ofta fortsätter att generera DNS-frågor eller korta bakgrundsanslutningar under nätverksändringar. När klienter använder externa DNS-upplösare kan brandväggen se trafik utan en ren matchning mellan hjärtslag, klientsökväg och policydesign. I miljöer med Security Heartbeat är det därför viktigt att DNS-designen är medveten:

  • Vilka DNS-servrar tar klienterna emot via DHCP?
  • Använder hanterade klienter brandväggen, interna DNS-servrar eller externa resolvers?
  • Körs interna domäner via DNS-begäran?
  • Finns det VPN-profiler, WLAN eller gästnätverk med olika DNS-servrar?
  • Finns det webbläsare eller slutpunktsfunktioner som skickar DNS förbi den lokala resolvern? När klienter använder Sophos-brandväggen som DNS-sändare måste interna domäner lösas med hjälp av lämpliga DNS-begäranvägar. Flödet finns i Konfigurera DNS-begäranvägar på Sophos Firewall. Å andra sidan, om klienter använder interna DNS-servrar direkt, är det också legitimt. Men då ska du inte förvänta dig att en DNS-begäranväg på brandväggen påverkar varje klientförfrågan. Det som spelar roll är vilken resolver som faktiskt används ur klientens perspektiv.

Kontrollera brandväggsreglerna med hjärtslag

Säkerhet Heartbeat bör inte vara slumpartat inbyggt i varje klientregel. Ett hjärtslagstillstånd är ett åtkomstkrav. Om det finns enheter utan Sophos Endpoint, blandade slutpunktsstrategier eller speciella nätverk, kommer en regel som är för bred snabbt att leda till falska positiva eller oväntade blockeringar. Användbara frågor för att kontrollera regler:

  1. Vilken regel genererar varningen eller blockerar trafik?

  2. Är Konfigurera Synchronized Security Heartbeat aktivt i den här regeln?

  3. Gäller regeln endast Sophos-hanterade slutpunktsenheter?

  4. Finns det några undantag för skrivare, skannrar, IoT, servrar, gäster eller tredje parts EDR?

  5. Krävs hjärtslag för källa, destination eller båda sidor?

  6. Finns det en separat regel för enheter som inte kan ge hjärtslag? För själva regelanalysen hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture och Sophos Firewall-regeln fungerar inte: kontrollera orsaker.

Kontrollera loggar och central

För individuella varningar är timingen ofta tillräcklig. För återkommande varningar bör du kontrollera brandväggen, Sophos Central och Endpoint tillsammans. Dessa platser är användbara på brandväggen:

  • Logg Viewer: Kontrollera trafik, brandväggsregel, webb, DNS och systemhändelser runt varningstiden.

  • Skydda > Regler och policyer > Brandväggsregler: kontrollera påverkad regel och hjärtslagstillstånd.

  • System > Sophos Central: Kontrollera central registrering och aktiverade tjänster.

  • Diagnostik > Packet capture: kontrollera om trafiken verkligen går genom brandväggen.

  • Advanced Shell: utvärdera heartbeatd.log och hbtrust.log om det behövs. De viktigaste tjänsteloggarna samlas i Hitta och organisera Sophos Firewall-tjänstloggar. I Sophos Central kollar du också:

  • Är slutpunkten online?

  • Har ändpunkten grön, gul eller röd status?

  • Finns det slutpunktshändelser samtidigt?

  • Är datorn duplicerad, inaktuell eller synlig hos fel hyresgäst?

  • Har slutpunkten nyligen installerats om, bytt namn, tagits bort eller flyttats? Om brandväggen inte är korrekt ansluten till Sophos Central, bör själva centralanslutningen kontrolleras först. Detta passar Anslut Sophos Firewall till Sophos Central.

Felsökningsflöde

En kompakt process hindrar dig från att omedelbart söka på fel ställe.

  1. Notera varningstid, klientnamn, IP-adress, användare och påverkad regel.

  2. Kontrollera i Sophos Central att slutpunkten var online och frisk samtidigt.

  3. På klienten, kontrollera att Sophos Endpoint är installerat, uppdaterat och anslutet.

  4. Kontrollera nätverkssökvägen: LAN, WLAN, VPN, dockningsstation, annat nätverk eller externt nätverk.

  5. Kontrollera klientens DNS-server och jämför den med den förväntade designen.

  6. Kontrollera i brandväggsregeln om Security Heartbeat är inställt medvetet och tillräckligt tätt.

  7. Kontrollera i loggvisaren vilken trafik som utlöste varningen.

  8. Utvärdera paketfångst och hjärtslagsloggar för återkommande fall.

  9. Justera regeln eller DNS-designen om varningen kommer från normal drift. Beställningen är viktig: Förklara först om klienten kan leverera hjärtslag och om trafiken går genom den förväntade brandväggen. Först då är det värt att analysera enskilda loggar i detalj.

Typiska korrigeringar

FyndVettig åtgärd
Varningar endast vid byte av LAN/WLANDokumentera som ett förväntat tidsproblem, kontrollera klientnätverksändringar och DHCP/DNS
Klienter använder externa DNS-lösareFörena DNS via DHCP, policy eller slutpunktskonfiguration
Interna domäner fungerar bara delvisKontrollera rutter för DNS-begäran eller intern DNS-vidarebefordran
Tredjepartsskyddade klienter påverkasTa bort hjärtslagstillstånd från regeln eller använd en separat regel
Sophos Endpoint offline eller defektReparera, registrera om slutpunkten eller rensa upp central status
Regeln gäller för många enheterBegränsa källobjekt, zoner och användargrupper

En korrigering bör passa driftsmodellen. I en ren Sophos-slutpunktsmiljö kan Heartbeat vara vettigt som ett krav på hård åtkomst. I blandade miljöer är Heartbeat mer av ett riktat kontrollverktyg för specifika kundgrupper.

Checklista

  • Berörda enheter skickar alltid Sophos Security Heartbeat.

  • Brandvägg och slutpunkt är i rätt Sophos Central-hyresgäst. – Trafiken går genom brandväggen, som förväntar sig hjärtslag.

  • DNS-servrar och DNS-begäranvägar är dokumenterade.

  • Brandväggsregler upprätthåller hjärtslag endast för matchande källor.

  • Enheter utan Sophos Endpoint har sina egna regler eller undantag.

  • Loggvisare, slutpunktshändelser och larmtid kontrollerades tillsammans.

  • Återkommande varningar har grupperats efter nätverksändringar, VPN- och DNS-mönster.

Vanliga frågor

Är en varning för saknat hjärtslag automatiskt en säkerhetsincident?

Nej. Varningen visar först att brandväggen ser trafik men inte får ett matchande säkerhetspulsslag. Detta kan vara ett verkligt problem med endpoint, men kan också orsakas av nätverksändringar, DNS-design eller enheter utan Sophos Endpoint.

Varför uppstår ofta varningar om missade hjärtslag på bärbara datorer?

Bärbara datorer växlar ofta mellan LAN, WLAN, VPN och externa nätverk. Under sådana växlar kan DNS-förfrågningar eller bakgrundsanslutningar fortfarande vara synliga även om hjärtslagsvägen redan ser annorlunda ut.

Kan Microsoft Defender skicka ett Sophos Security-hjärtslag?

Nej. Security Heartbeat är en Sophos-funktion mellan Sophos Endpoint, Sophos Central och Sophos Firewall. Enheter med Microsoft Defender eller annan EDR kan vara skyddade, men ger inte Sophos Heartbeat.

Ska du alltid blockera klienter utan hjärtslag?

Bara om det medvetet passar regel- och slutpunktskonceptet. I blandade nätverk skulle även legitima enheter utan Sophos Endpoint påverkas, till exempel skrivare, IoT, gäster, servrar eller klienter med en annan slutpunktslösning.

Vilka loggar hjälper till med hjärtslagsproblem?

Log Viewer, påverkad brandväggsregel och Sophos Central Endpoint Events hjälper först. För djupare felsökning är heartbeatd.log och hbtrust.log särskilt relevanta på brandväggen.