Sophos XG 17.5 Kontrollzentrum - Datenverkehrsüberblick und Benutzer- & Appliance

16. Dezember 2019 Marcel Zimmer
Sophos

Datenverkehrsüberblick

In diesem Bereich werden Statistiken zu dem von XG Firewall in den letzten 24 Stunden verarbeiteten Netzwerkverkehr bereitgestellt. Die Übersichtsinformationen geben Auskunft über die Personen, die am meisten Bandbreite in Anspruch nehmen, ungewöhnliche Datenverkehrmuster sowie am meisten besuchte Websites und Anwendungen.

Die Statistiken werden in Form von Balkendiagrammen angezeigt:

Web-Aktivitäten – Dieses Diagramm gibt Auskunft über den Benutzerdatentransfer in den letzten 24 Stunden, woran sich der Websurf-Trend erkennen lässt. Darüber hinaus werden die maximale und durchschnittliche Menge an übertragenen Daten in Bytes in den letzten 24 Stunden anzeigt, sodass etwaige ungewöhnliche Datenverkehrsmuster festgestellt werden können. Zeigt das Diagramm beispielsweise zu einem gegebenen Zeitpunkt einen Peak an, bedeutet dies, dass zu dem betreffenden Zeitpunkt die maximale Datenmenge übertragen wurde.
Zugelassene Anwendungskategorien – Dieses Diagramm gibt Auskunft über die übertragene Datenmenge in Bytes für die fünf häufigsten Anwendungskategorien. Auf diese Weise hat der Administrator stets im Blick, welche Anwendungen in den letzten 24 Stunden am meisten genutzt wurden, sodass sich leicht feststellen lässt, welche Anwendungen die meiste Bandbreite in Anspruch nehmen. Das Klicken auf die Linie einer bestimmten Kategorie in der Grafik leitet Sie zum gefilterten Anwendungsbericht dieser Kategorie um.
Netzwerkangriffe – Dieses Diagramm gibt Auskunft über die fünf Hosts, denen aus Sicherheitsgründen am häufigsten der Zugriff auf das Netzwerk verweigert wurde. Das Klicken auf die Linie eines bestimmten Angriffs in der Grafik leitet Sie zum gefilterten Bericht dieser Kategorie um.
Zugelassene Webkategorien – Dieses Diagramm gibt Auskunft über die übertragene Datenmenge in Bytes für die fünf häufigsten Webkategorien. Auf diese Weise hat der Administrator stets im Blick, welche Anwendungen in den letzten 24 Stunden am häufigsten besucht wurden, sodass sich leicht feststellen lässt, welche Websites die meiste Bandbreite in Anspruch nehmen. Das Klicken auf die Linie einer bestimmten Webkategorie in der Grafik leitet Sie zum gefilterten Bericht dieser Kategorie um.
Blockierte Anwendungskategorien – Dieses Diagramm gibt Auskunft über die fünf Anwendungskategorien, die am häufigsten blockiert wurden, mit Angabe der Anzahl der Treffer je Kategorie. Auf diese Weise erhält der Administrator Informationen über die Anwendungen mit den meisten fehlgeschlagenen Zugriffsversuchen. Das Klicken auf die Linie einer bestimmten Kategorie in der Grafik leitet Sie zum gefilterten Anwendungsbericht dieser Kategorie um.

Benutzer- & Appliance

Widget „Security Heartbeat“

Das Widget „Security Heartbeat“ gibt Auskunft über den Integritätsstatus aller Endpoint-Geräte. Ein Endpoint-Gerät ist ein internetfähiges Hardwaregerät, das über Sophos Central mit dem Sophos XG Firewall verbunden ist. Der Endpoint sendet in regelmäßigen Abständen ein Heartbeat-Signal und meldet zudem potenzielle Bedrohungen an das Sophos XG Firewall.

Wenn Security Heartbeat nicht konfiguriert ist, wird eine Schaltfläche Konfigurieren im Kontrollzentrum angezeigt.

Der Systemzustand eines Endpoints kann rot, gelb oder grün sein:

Rot gekennzeichnetes „Gefährdet“ – Aktive Schadprogramme entdeckt.
Gelb gekennzeichnete „Warnung“ – Inaktive Schadprogramme entdeckt.
Grün – Keine Schadprogramme entdeckt.
Rot gekennzeichnetes „Fehlend“ – Endpoints senden keine Information über den Integritätsstatus, verursachen aber Netzwerkverkehr.

Sobald Security Heartbeat konfiguriert ist, werden alle Endpoints in einen von vier Status eingestuft. Das Widget „Security Heartbeat“ zeigt die Gesamtzahl der Endpoints je Status an.

Klicken Sie auf das Widget, um die Liste aller Endpoints mit Informationen wie Hostname/IP der Quelle, Benutzer und Statusänderung anzuzeigen. Sie können auswählen, ob Sie alle oder nur ein paar Endpoints basierend auf ihrem Systemzustand anzeigen möchten.

Widget „Sandstorm“

Sophos Sandstorm ist ein cloud-basierter Dienst, der verbesserten Schutz gegen Schadprogramme bietet. Sie können auf der Firewall einstellen, dass verdächtige Downloads an Sandstorm zur Analyse übermittelt werden. Sandstorm führt Dateien aus, um sie auf Erpressungstrojaner und andere komplexe Bedrohungen zu untersuchen. Da die Analyse in der Cloud stattfindet, wird Ihr System zu keiner Zeit möglichen Bedrohungen ausgesetzt.

Sandstorm erfordert ein Abonnement. Klicken Sie auf den Link, um Ihre kostenlose 30-Tage-Evaluierung zu beginnen.

Wenn Sandstorm aktiviert ist, werden Benutzer daran gehindert Dateien herunterzuladen, auf welche die Firewallkritierien zutreffen, bis die Analyse abgeschlossen ist.

Das Widget „Sandstorm“ zeigt Analyseergebnisse für Internetverkehr und E-Mails. Klicken Sie auf das Widget, um Details zu Sandstorm anzuzeigen.

Widget „ATP“

Das Widget ATP (Advanced Threat Protection) bietet eine Momentaufnahme der in Ihrem Netzwerk entdeckten komplexen Bedrohungen. ATP hilft, infizierte oder manipulierte Clients innerhalb des Netzwerks zu ermitteln, und gibt eine Warnung aus oder verwirft den entsprechenden Datenverkehr.

Sobald ATP konfiguriert ist, wird eine der folgenden beiden Status angezeigt:


Symbol	Status
	Normal Keine Bedrohungen erkannt.
	Alarm Zeigt Anzahl der blockierten Quellen an. Wenn Sie darauf klicken, werden Details wie Hostname/IP der Quelle, Bedrohung und Anzahl angezeigt.

Widget „UTQ“

Das Widget zeigt den Status des Benutzer-Bedrohungsgrads (UTQ) einer Organisation, als Zusammenfassung der letzten sieben Tage. Dadurch erhalten Sie schnell einen Überblick über eventuelle riskante Benutzer, die eine Sicherheitsbedrohung für Ihr Organisationsnetzwerk darstellen.

Mögliche UTQ-Statuskategorien:


Symbol	Status
	Es gibt keine Benutzer mit riskanten Internetsurfverhalten oder Benutzer, die infizierte Hosts verwenden, welche Teil eines Botnets sind.
	Es gibt 13 Benutzer, die für 80 % des Gesamtrisikos verantwortlich sind, welchem das Netzwerk der Organisation ausgesetzt ist. Beachten Sie, dass die Zahl 13 hier nur ein Beispiel ist. Klicken Sie auf dieses Symbol, um die UTQ-Berichte für die letzten sieben Tage zu sehen.

Widget „RED“

Dieses Widget zeigt die Anzahl der eingerichteten RED-Tunnel und die Gesamtzahl der in Form von 4/8 konfigurierten RED-Tunnel an. Klicken Sie auf das Widget, um eine Liste der RED-Tunnel anzuzeigen.

Widget „WLAN-APs“

Dieses Widget zeigt die aktiven Access Points und die Gesamtzahl der konfigurierten Access Point in der Form „2/3“ an. Etwaige ausstehende Access Points werden separat in einer Klammer in rot angezeigt. Klicken Sie auf das Widget, um zur Seite Access Points weitergeleitet zu werden.

Widget „Verbundene Remote-Benutzer“

Dieses Widget zeigt die Gesamtzahl der Benutzer an, die über SSL-VPN remote verbunden sind. Klicken Sie auf das Widget, um zur Seite Remote-Benutzer weitergeleitet zu werden.

Widget „Live-Benutzer“

Das Widget zeigt die Gesamtzahl der Live-Benutzer an. Klicken Sie auf das Widget, um zur Seite Live-Benutzer weitergeleitet zu werden.

Autor: Marcel Zimmer

Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.

Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.