¿Endpoints en Riesgo con Sophos XG?

By 11 febrero, 2018 Knowledgebase, XG

En Sophos XG con la Seguridad Sincronizada activada, si surgiera el caso de que los Endpoints aparecen en el panel del Centro de Control en rojo (riesgo) desde el primer momento de la instalación, y que el estado no cambia a verde (conectado), esto puede deberse a diferentes escenarios, desde una mala configuración, un bug como el reportado WINEP-11654, una falta de comunicación entre el XG y el cloud de Sophos, o, por último, un riesgo real en los Endpoint.

A continuación, resumiré los estados de salud y significado de los colores en el Centro de Control para tener una idea más clara de cómo leer los mensajes:

En ROJO

Debería tomar medidas si ocurriesen uno o más de los siguientes problemas:

  • Malware activo detectado
  • Malware en ejecución detectado
  • Tráfico de red malicioso detectado
  • Se detectan las comunicaciones enviadas a un host malo conocido
  • Malware no eliminado
  • El software de seguridad de Sophos no funciona correctamente

En Amarillo

Si se preocupa por la integridad de los sistemas, debería tomar medidas si se produjese uno de los siguientes problemas:

  • Malware inactivo detectado
  • Aplicación potencialmente no deseada detectada

En Verde

No necesitas hacer nada.

En el caso de que el Centro de Control reportase siempre equipos en riesgo (casi todos, o todos), lo primero sería asegurarse de que tenemos las últimas versiones de firmware y software tanto en el Appliance como en el Endpoint instalados, y que los Endpoints aparecen correctamente conectados y sin anomalías en el cloud. Si este es el caso, descartaremos que el equipo o los equipos estén infectados.

Llegados a este punto, comprobaríamos el estado de comunicación entre el XG y los servidores Syslog en Sophos Cloud. Tenga en cuenta que el puerto Heartbeat que usa XG para comunicarse con el Central Management es el 6514 además del protocolo HTTPS puerto 443.

Si no tenemos comunicación por el 6514 por cualquier motivo, como por ejemplo si estuviésemos detrás de un NAT, la comunicación del Heartbeat no funcionaría jamás.

Aprovechamos desde TresW para desearles un feliz heartbeat 💗 de San Valentín.

Para manteneros al día sobre temas de Seguridad IT y noticias destacadas, haceros fans de nuestra página de Facebook o síguenos en Twitter.