Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 2786 views
  • Users 0 members are here
Options
Suggested

Tests for the Security Heartbeat Beta

TheShellDuck
We’ve created some simple tests that let you try out these Security Heartbeat functions:

•             Enable Security Heartbeat and Advanced Threat Protection (ATP).
•             Create Firewall policies to control network traffic based on the health status of your endpoint computers.
•             Trigger a sample threat detection on an endpoint to change its health status.
•             Check that the endpoints get the correct network access based on Firewall policies.
•             Monitor endpoint health status in the Sophos Cloud and Sophos Firewall consoles.

You can find step-by-step instructions in the attached document. We’d like you to give these tests a go and provide us with feedback.  

Happy testing.
Heartbeat Beta test guide.zip
  • 0
    My test worked as expected.  The Sophos Cloud Blocked the PUA file and then the Firewall denied my Internet Access.  However the block message indicated that the reason for the block was a Web Filter Content Rule.  The Image is attached.  I do not have Scan HTTP enabled, this is a straight Network Policy Rule.

    I then tested the CallHome ATP test.  While the ATP warning in the Firewall is still only listing Generic for the block, at least it trigger the Sophos Cloud Endpoint to identify the SophosThreatTest as the cause of the ATP problem.  Sophos Cloud however had no remediation available for this Threat.  My only option was to clear it from the list.  I was also blocked from the Internet by the Firewall again with the same Web Filter Content Block Screen.

    The block reason will generate calls for unblocking Websites, when in fact they were blocked because of a Heartbeat or ATP Threat that needed to be looked at.

    It would also be nice if the Sophos Firewall would give me details from the Sophos Cloud Endpoint.  

    Example:
    Threat Detected: SophosThreatTest.exe 
    Endpoint: hpworkstation  User: Steve
  • 0 in reply to StephenWeber
    Hi q2srw77,

    thanks for your feedback on Security Heartbeat.
    First off you have been blocked because in the first beta release the default value for Security Heartbeat has been Yellow, we have changed that with beta 2 to be No Restriction, so unless you define a Security Heartbeat limit in your policies you will not be blocked.

    You are right that we can currently not remediate ATP events from Sophos Cloud on the endpoint, but you have to clean this up manually. We are looking into adding this to Sophos Cloud, so you can remediate from Sophos Cloud, not requiring you to go to the machine in question.

    The block page currently is not specific to Security Heartbeat and is served via the Web Proxy, hence the possibly misleading information. Unfortunately we will not be able to change this in the first release, but we will be including a specific block page that contains more details on the reason for the block in the next major version.

    Last but not least, you are absolutely right that more information from the Endpoint would be useful. We are also targeting this for the next major version with a much tighter integration between the Sophos Cloud Endpoint and the Firewall.

    Jan
  • 0
    Hi I'm unable to register for the Sophos Cloud Trial as I all ready regisitered for the trial before.
    Is they any work around?

    Mark
  • 0
    Does Security heartbeat will work with Sophos enterprise Console?

    I hace customers buying right now Endpoint and SG-UTMs and i want to choose the best arquitecture.
  • 0
    HI Amarrero, 

    At the moment Security Heartbeat will work only with Sophos Endpoint Cloud version. 
    Have a look at this other thread.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/67/t/57978

    Luk
Unfiltered HTML