Sophos XG Firewall: So konfigurieren Sie die Synchronized Application Control (SAC)

Übersicht

Synchronized Application Control (SAC) ist eine Erweiterung der Application Control (AC). Jede Anwendung, die eine TCP-Verbindung verwendet und sich auf eine ausführbare Datei bezieht, wird vom Endpoint gemeldet. Nur Verbindungen, die dem IPS-Anwendungssteuerelement nicht bekannt sind, werden von SAC gemeldet.

Dieser Artikel beinhaltet eine detaillierte Beschreibung zur Konfiguration von Synchronized Application Control.

Ein Sophos Central Account wird benötigt, um SAC zu aktivieren. Die SAC-Funktion in der Sophos XG Firewall empfängt Informationen von den Endpoints über Heartbeat. Daher wird eine Security-Heartbeat-Funktion benötigt.

Weitere Informationen zur Aktivierung von Security-Heartbeat finden Sie unter Sophos XG Firewall: So aktivieren Sie Security Heartbeat. Eine gültige Network Protection- und Endpoint Protection-Lizenz ist erforderlich, damit diese Funktion aktiviert werden kann.

Diese Anleitung gilt für alle Firewall-Modelle der XG-Serie:

XG 85, XG 105, XG 115, XG 125, XG 135, XG 210, XG 230, XG 310, XG 330, XG 430, XG 450, XG 550, XG 650, XG 750

Anleitung

Wechseln Sie nach der Registrierung der Sophos XG Firewall mit Ihrem Central Account zu Synchronized Security, und aktivieren Sie unter Synchronized Application Control die Funktion Synchronized Application Control.
SAC_enable_thumb_2

Sobald Sophos XG Firewall den nächsten „Heartbeat“ empfängt, werden die Anwendungen, die der IPS-Anwendungssteuerung nicht bekannt sind, in der synchronisierten Anwendungssteuerung unter Applications > Synchronized Application Control. aufgeführt.

Die gefundenen Anwendungen können dann durch Angabe des entsprechenden Namens und der Kategorie angepasst werden.

Basierend auf der Anwendungskategorie können dann geeignete Richtlinien umgesetzt werden.
SAC_list_thumb_2

Hinweis:

  • Nur Anwendungen oder Verbindungen, die TCP verwenden, werden vom Endpoint gemeldet. UDP-Verbindungen werden nicht gemeldet.
  • Mindestens 8 Byte Datenpakete sind erforderlich, um die Bedrohung zu erkennen und die Richtlinie für die gemeldeten Verbindungen auszuführen.
  • Eine einzelne Anwendung kann auf mehreren ausführbaren Dateien ausgeführt werden, daher können mehrere ausführbare Dateien von einer einzelnen Anwendung gemeldet werden. Dies kann zu einer Differenz führen, da einige Verbindungen möglicherweise bereits von der IPS-Anwendungssteuerung verarbeitet werden.