Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1385 views
  • Users 0 members are here
Options
Suggested

[9.191][ANSWERED] Sophos Entreprise Console and UTM web protection

bastienb
Hi,

I would like to test the Endpoint web protection managed by the UTM, I have connected my SEC to the UTM by the broker address and the keys, I have created a web policy on UTM for "Default" Endpoint group but I still can't see how my Endpoint can be connected.

Of course, if I test a blocked web site from a laptop which is not connected to the proxy, the web page is still available.

Do you have any documentation about this feature or could you give me some advices please ?

Regards,
Bastien.
  • 0
    I think the latest version of SEC has some (limited) documentation.

    Basically, install the Endpoint via SEC and make sure the EP is running correctly as SEC-managed.  The enable Web Protection in SEC.  There is a place where you can cut and paste some details from the UTM.

    The endpoints will not show up in the UTM, and therefore you cannot apply different profiles to them.  I believe they will always use the Default Profile (but should choose appropriate policy and filter action within them).

    You can double-check the following things to confirm the endpoint has a policy downloaded (each of these proves a different part of the system works)
    1) If you load Endpoint it says Web Control is Enabled
    2) If you use regedit you can see HKLM\Software\Sophos\Web Intelliegence\Web Control\PolicyURL has a value.  (Note: Software\Wow6432Node for 64 bit)
    3) If you go to C:\ProgramData\Sophos\Web Control\Policy there are files present
  • 0 in reply to Michael Dunn
    I'll check tomorrow on my endpoints if I have the registry key.

    Do you know if the reporting is integrated into the UTM or not (as with EP managed by the UTM) ?

    Are there any log I can check on the SEC console ?
  • 0
    The web protection logs and reporting should be on the UTM.  The UTM would not show any virus alerts (eg dashboard) - they would be at SEC.

    I don't think there is anything viewable on SEC  - from memory there may be something about non-compliant or update-pending or something.  But even if there is something, I wouldn't trust it.  Just because SEC sent the configuration doesn't mean the EP has a successful web control policy download.
  • 0
    I have double checked and everything is in the right place on the EP. I have the registry key and a lot of files in the "policy" folder.

    The default policy on my UTM does not allow a lot of categories but I still have access to this category from the EP.

    I don't know what could be wrong, did you test this by yourself ?

    Regards,
    Bastien.
  • 0
    I last tested the SEC integration a few months ago (when we were developing the feature).  I test the normal UTM integration daily.

    More to confirm (in increasing orders of proving things work):
    - If you change a policy or filter action that is part of your default profile, within about 10 minutes new files appear on the EP in the \policy directory.  You can sort by file date.
    - On the UTM the /var/log/eplog.log contains data (in UI it is Logging \ Endpoint Web Protection)
    - Do some browsing on the EP.  Eventually the logs of these actions will appear in eplog.log (this can take 1-30 minutes).
    - If the EP is behind the UTM, when you browse nothing appears in http.log (because actions appear in eplog.log we do not double-log to htyp.log)
    - Log lines contain the name of the Filter Action that was applied
  • 0
    Hi,

    I have restrarted both servers (UTM and SEC) and it works today... Don't know what's wrong but it works with the HTTP proxy "Base policy".

    Thanks for the help Michael.
Unfiltered HTML