Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1630 views
  • Users 0 members are here
Options
Suggested

[ANSWERED] Hearbeat question

lferrara
Hi, 

in any policy rule is possible to set required hearbeat level. If a user/device does not have Sophos installed, and HB is on, what happens to traffic? It will be stopped?

Thanks.
  • 0
    Hi lferrara,

    yes if you set require security heartbeat, all network devices that are not sending security heartbeats will be blocked.
    If you leave it at off, the security heartbeat level will still be considered when a security heartbeat is present.

    Jan
  • 0 in reply to JanWeber
    Thank you Jan for your answer. Did you try it or you are sure about it?

    I did not test yet in my test env. 

    If it is like this, Sophos should think about to automatically push Sophos Endpoint for Workstation/Server and Agent for Mobile too. I know it is a lot of work for them, but if you take for example a big company where you want to restrict access to certain website, you have to create on the fly another temp policy or manually install Sophos Endpoint where it is not installed. 

    Heartbeat is a nice thing and I really like it because you can improve security inside organization but we need at least a skip list or automatic deploy of S.Endpoint.

    Hope to hear other opinions!!! [[[:)]]][[[:)]]][[[:)]]]
  • 0 in reply to lferrara
    Hi lferrara,

    tried and actually specified it like that [;)]

    This behavior allows you to implement exactly the scenario you outlined without the need of an additional policy, as none Sophos endpoints can connect even without Security Heartbeat.
    But you are right that an automatic deployment option, or easier deployment option for the endpoint, would enhance this capabilities and we are working on further improving Security Heartbeat with future versions, also in this direction.

    With this initial Copernicus release we are bringing the foundation of Security Heartbeat.

    If you have other ideas please feel free to share them!

    Jan
  • 0 in reply to JanWeber
    Thank you Jan. 

    Anyway it is a good start as no other brand has this kind of feature. Sophos use to have NAC product where it was possible to automatically deploy packages and check Sophos version too.

    Can you explain different level of HB? What does each level require?

    As I said previously, a global skip list will be appreciated.

    [[[;)]]][[[;)]]][[[;)]]]
  • 0 in reply to lferrara
    Jan, 

    to improve HB, my idea is that you can display captive portal (maybe another one), where if Policy rules requires HB and machine does not have endpoint installed, through captive portal customer receives a message "You cannot browse bla bla bla because your computer is not protected by Sophos antivirus. Contact Helpdesk (maybe) or click here to download Sophos Antivirus and install it!). Same thing for Mobile. Once install ends, Sophos endpoint can pop-up a message on tray icon saying: "Now, you can surf on internet safety!"

    Maybe you can think about different level of HB. Maybe Hard where endpoint must be installed and no captive portal is displayed; medium where captive portal allows you to install EP or Mobile Con; low allows both traffic (so Admins understand how many computer are hitting that rule and how many IPs/Users are unprotected).

    Also deploy can be force by Enterprise Console (so somewhere into UTM allows Admins to specify EC server, login and password, path), maybe creating another checkbox in everyrule or using msi installer created by admin via EC? 

    Because you have implemented HB with policy rules, it will be nice and safer for Enterprise to force HB even on VPN connection. Did you think about it?

    You already have it in place and securing VPN connection will be another plus for Sophos Copernicus product.

    [[[:)]]][[[:)]]][[[:)]]]

    I am looking forward to seeing news from HB and Sophos Depart.

    Thank you

    Luk
  • 0 in reply to lferrara
    Hi Luk,

    great ideas, this is the direction that we are thinking as well, but we will not be able to deliver this complete scenario with Copernicus v1. But this is on our roadmap for future versions.

    With regards to the level of Security Heartbeat (Green, Yellow, Red) this is determined by the endpoint and reported to Copernicus. The endpoint takes different things into account like services running, installed applications or ongoing infections, depending on this it is reporting a health state.

    We will be sharing more detailed information in the coming days about this, along with some tools that can help to safely test the different states. We are just finalizing those.

    Jan
  • 0
    Hi Jan, 

    A nice feature can be a dissolvable agent (from Sophos NAC for example), pushed from UTM via browser activeX (for insider guest users) or vpn client (for VPN Users) and run into computer RAM until the connection is on to check for virus, APT, malware, etc....

    Thank you for your answer! [[[;)]]][[[;)]]][[[;)]]]
Unfiltered HTML