Hallo Zusammen,
wir haben als recht neuer Sophos Partner aktuell mehrere Sophos XGS Firewalls bei unseren Kunden am Laufen und diese auch alle an Central angebunden. Ebenfalls im Einsatz sind bei allen Kunden die Sophos Endpoint Software.
Bei sehr vielen taucht immer wieder ein Alarm [Hoch] auf, weil der Computer wohl keine Security Hearbeat Signale mehr an die Firewall schickt aber weiterhin Netzwerkdatenverkehr übertragen wird. Der Computer sei eventuell infiziert, heißt es in der Alarmmeldung.
Es sind dabei immer ausschließlich Fehlalarme. Bei einigen hervorgerufen direkt nach dem Rechnerstart und bei Notebooks oft speziell wenn diese in den Stand-By gehen. Einige Notebooks, wie beispielsweise Modelle von Lenovo, haben eine Firmware die auch im Stand-By ein Management haben und Daten übertragen. Das OS und somit der Sophos Client ist aber im Standby und somit keine Hearbeats geschickt werden.
Somit geraten diese Alarmmeldungen nach stetigen False-Positives in etwas, dass man nicht mehr ernst nimmt.
Was kann man hier tun? Ich bin eigentlich nah dran, die Funktion der Hearbeat Überwachung gänzlich zu deaktivieren. Was schade wäre, denn es ist eigentlich guter Sicherheitsansatz dahinter. Nur mit aktuell eher 100% Falschmeldungen ist die Funktion leider wenig aussagekräftig.
Viele Grüße
Markus
Added TAGs
[edited by: Erick Jan at 8:26 AM (GMT -7) on 8 Jun 2023]