Zum Inhalt springen
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Mit SFOS 22.0 MR1 hat Sophos eine neue Erkennungsfunktion in die Sophos Firewall gebracht: NDR Active Threat Intelligence. Der Name klingt nach einem weiteren grossen Security-Baustein, technisch ist es aber etwas präziser einzuordnen. Die Firewall nutzt Erkennungsmuster aus Taegis NDR. In der Sophos-Community wird dabei iSensor als IPS-Engine aus der Secureworks- beziehungsweise Taegis-Welt genannt, deren Muster nun in SFOS landen. Ziel ist nicht primär, jeden Treffer sofort hart zu blockieren, sondern verdächtige Aktivitäten im Netzwerk sichtbar zu machen und für XDR, MDR oder SOC-Analysen nutzbar zu machen.

Das ist ein wichtiger Unterschied. Viele Admins denken bei Firewall-Security zuerst an Blockieren: IPS blockiert, Web Protection blockiert, DNS Protection blockiert, Threat Feeds blockieren. NDR Active Threat Intelligence arbeitet anders. Die Funktion erkennt potenziell schädlichen oder verdächtigen Traffic, schreibt Events in die Logs und leitet die Daten in den Sophos Data Lake weiter. Dort können sie in Sophos Central, im Threat Analysis Center, für Sophos XDR, Sophos MDR oder ein SOC weiter untersucht werden.

Aus meiner Sicht ist das eine sinnvolle Ergänzung, aber kein magischer Ersatz für ein richtiges Detection-and-Response-Konzept. Wer die Funktion einfach einschaltet und danach nie in Logs, Detections oder Cases schaut, gewinnt wenig. Wer sie aber bewusst in Firewall-Regeln, TLS-Inspection, Reporting und Incident-Prozesse einbindet, bekommt zusätzliche Signale genau dort, wo viele Angriffe sichtbar werden: im Netzwerkverkehr.

Was NDR Active Threat Intelligence macht

NDR Active Threat Intelligence nutzt hochsignalige Erkennungsmuster aus Taegis NDR. Die Sophos Firewall prüft passenden Traffic auf diese Muster, erzeugt Detection-Events und leitet sie an den Data Lake weiter. Sophos beschreibt die Funktion als Erkennung von potenziell schädlichem Traffic und aktiven Angreifern innerhalb des Netzwerks.

Praktisch geht es um Situationen, die für klassische Prävention nicht immer eindeutig genug sind, aber für eine Untersuchung wichtig werden:

  • ein vertrauenswürdiges Windows-Tool wie certutil, das für verdächtige Downloads missbraucht wird,
  • ein kompromittiertes System, das SSH-fähige Hosts scannt, etwa im Kontext von NoaBot,
  • ungewöhnlicher HTTP-Traffic über einen Port, der eigentlich für DNS erwartet würde,
  • ausgehender Traffic, der nach Datenabfluss oder versteckter Kommunikation aussieht, zum Beispiel über das alte finger-Tool.

Solche Signale sind nicht immer automatisch ein bestätigter Angriff. Genau deshalb ist die Aktion in der Konfiguration auf Log threats ausgelegt. Die Firewall sammelt Hinweise, macht sie sichtbar und stellt sie für Korrelation bereit. Wenn andere Signale dazukommen, etwa Endpoint-Events, Identity-Hinweise oder weitere Firewall-Logs, kann daraus eine belastbare Detection oder ein Case entstehen.

Warum das nicht dasselbe wie ATP oder klassische Threat Feeds ist

Eine naheliegende Frage lautet: Ist das einfach Advanced Threat Protection mit neuem Namen? Eher nicht. In der Sophos Community wurde die neue Firewall-Regeloption treffend als neue beziehungsweise verbesserte IPS-Pattern beschrieben, nicht als klassisches ATP. Der Unterschied ist wichtig, weil dadurch auch die Erwartung an die Funktion klarer wird.

Advanced Threat Protection und Sophos X-Ops Threat Feeds arbeiten stärker reputations- und indikatorbasiert. Es geht um bekannte bösartige IPs, Domains, URLs oder Command-and-Control-Indikatoren. Solche Feeds sind sehr wertvoll, wenn ein Ziel oder Absender bereits als schädlich bekannt ist. Dazu passt auch der ältere Beitrag zu Threat Intelligence Feeds für die Firewall.

NDR Active Threat Intelligence schaut stärker auf verdächtige Verkehrsmuster. Der Traffic selbst liefert Hinweise: ungewöhnliche Protokollnutzung, verdächtige Downloads, Lateral-Movement-Verhalten oder Kommunikation, die nicht zur erwarteten Nutzung passt. Das ist näher an Network Detection and Response als an einer reinen Blockliste.

Noch ein zweiter Unterschied ist wichtig: ATP ist systemweiter gedacht, NDR Active Threat Intelligence wird zusätzlich in den relevanten Firewall-Regeln aktiviert. Man entscheidet also pro Regel beziehungsweise pro Traffic-Pfad, welcher Verkehr mit diesen Mustern analysiert werden soll.

Voraussetzungen und unterstützte Plattformen

NDR Active Threat Intelligence ist eine Funktion für Sophos Firewall 22.0 MR1. In den Release Notes wird sie für Version 22.0 MR1 Build 490 aufgeführt, die am 20. April 2026 veröffentlicht wurde.

Für den Betrieb sind vor allem diese Punkte relevant:

  • Es braucht eine Sophos Firewall mit Xstream Protection Bundle.
  • Unterstützt werden XGS Series Firewalls, inklusive Gen.1 und Gen.2, sowie virtuelle, Software- und Cloud-Deployments.
  • Unterstützt werden unter anderem VMware, KVM, Hyper-V, Azure, AWS, XEN und Software-Appliances.
  • Nicht unterstützt sind XGS 88, XGS 88w, XGS 87 und XGS 87w.
  • Für XDR-Analysen ist eine Sophos-XDR-Lizenz nötig.
  • Für MDR-Analysen ist MDR Essentials oder MDR Complete nötig.
  • Für Sophos-Central-Reporting müssen Reports und Logs an Sophos Central gesendet werden.
  • Die Firewall muss in Sophos Central registriert sein, wenn man die Central-Ansichten nutzen möchte.
  • Sophos Firewall Home Edition wird laut Techvids-Hinweis aktuell nicht unterstützt.

Der Punkt mit XGS 87 und XGS 88 ist wichtig, aber nicht der einzige Betriebscheck. Die kleinsten Desktop-Modelle werden bei dieser Funktion nicht unterstützt, auch wenn sie sonst aktuelle SFOS-Versionen nutzen können. Wer in kleinen Aussenstellen oder Filialen mit XGS 87, XGS 87w, XGS 88 oder XGS 88w arbeitet, sollte NDR Active Threat Intelligence nicht als verfügbaren Schutzbaustein einplanen. Gleichzeitig reicht eine vorhandene Lizenz allein nicht: Central-Reporting, Data-Lake-Anbindung und IPS-Logging müssen sauber aktiviert sein, sonst bleibt der operative Nutzen klein.

NDR Active Threat Intelligence, NDR Essentials oder Sophos Central NDR?

Die Namen sind ähnlich, meinen aber nicht dasselbe. NDR Essentials ist die Firewall-nahe Flow-Funktion: Die Sophos Firewall erfasst Netzwerk-Flows, die Analyse erfolgt in der Sophos-Cloud, und es braucht keine separate Sensor-VM. Das ist praktisch für Umgebungen, in denen die Firewall die relevanten Datenströme sieht und man ohne zusätzliche Appliance starten möchte.

NDR Active Threat Intelligence ist der neue Teil auf der Firewall-Seite. Er nutzt kuratierte Taegis-/iSensor-Muster und wird zusätzlich in den relevanten Firewall-Regeln aktiviert. Hier geht es nicht um eine separate NDR-Appliance, sondern um Detection- und Logging-Signale auf Traffic, den die Firewall tatsächlich verarbeitet.

Sophos Central NDR ist dagegen das eigenständige NDR-Produkt mit dedizierter virtueller Sensor-VM. Dieser Sensor wird typischerweise passiv über SPAN-, Mirror- oder TAP-Port angebunden und sieht dadurch auch internen Ost-West-Verkehr, unmanaged Geräte, IoT/OT-Systeme oder nicht autorisierte Assets, die je nach Architektur nie über die Firewall laufen. Kurz gesagt: NDR Essentials und NDR Active Threat Intelligence erweitern die Firewall-Sicht. Sophos Central NDR liefert die breitere Netzwerksicht über eine eigene Sensor-VM.

Wo man die Funktion aktiviert

Die Grundkonfiguration erfolgt auf der Sophos Firewall unter:

Active Threat Response > NDR Essentials and Active Threat Intelligence

Der Menüpunkt hiess früher nur NDR Essentials. Mit SFOS 22.0 MR1 wurde er erweitert und in NDR Essentials and Active Threat Intelligence umbenannt, weil dort nun beide Bereiche zusammengeführt sind.

Sophos Firewall NDR Essentials and Active Threat Intelligence aktivieren
NDR Essentials und NDR Active Threat Intelligence werden unter Active Threat Response konfiguriert.

Dort wird NDR Active Threat Intelligence aktiviert und ein Mindest-Schweregrad gewählt. Sophos nennt fünf Severity-Stufen:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

Die Auswahl bestimmt, welche Muster berücksichtigt werden. Wenn man Warning auswählt, werden alle Muster von Critical bis Warning berücksichtigt. Wenn man Critical auswählt, werden nur kritische Muster ausgewertet. Das klingt banal, ist im Betrieb aber wichtig. Ein zu hoher Schwellenwert kann interessante Frühindikatoren ausblenden. Ein zu niedriger Schwellenwert kann in grösseren Netzen zu deutlich mehr Events führen.

Meine Empfehlung: Nicht blind mit der empfindlichsten Einstellung starten. Besser ist ein definierter Pilot mit wenigen relevanten Regeln, sauberem Logging und anschliessender Auswertung. Danach kann man entscheiden, ob der Severity-Level passt oder ob man schrittweise breiter ausrollt.

Die folgende Sophos-Demo zeigt die Aktivierung und den Testablauf kompakt im Firewall-GUI:

Firewall-Regeln sind entscheidend

Nach dem Einschalten erinnert die Firewall daran, dass NDR Active Threat Intelligence auch in den passenden Firewall-Regeln aktiviert werden muss. Das ist einer der wichtigsten Punkte, weil die Funktion sonst nicht auf den gewünschten Traffic angewendet wird.

In den Regeln findet man die Einstellung unter Rules and policies > Firewall rules. Innerhalb der jeweiligen Regel scrollt man zum Abschnitt Other security features.

Dort muss Scan with NDR Active Threat Intelligence aktiviert werden. Dieser Schritt muss für jede Regel gemacht werden, deren Traffic analysiert werden soll. Das betrifft typischerweise Regeln für Benutzer-Internet-Traffic, Server-Traffic, DMZ-Verkehr oder bestimmte interne Kommunikationspfade.

Sophos Firewall-Regel mit Scan with NDR Active Threat Intelligence
In den Firewall-Regeln muss Scan with NDR Active Threat Intelligence zusätzlich aktiviert werden.

In der Techvids-Anleitung wird zusätzlich darauf hingewiesen, dass Scan HTTP and decrypted HTTPS aktiviert sein soll und SSL/TLS Inspection Rules auf Decrypt stehen müssen, wenn entschlüsselter HTTPS-Traffic geprüft werden soll. Das ist logisch: Je weniger die Firewall vom Traffic sieht, desto weniger kann sie sinnvoll erkennen. Gleichzeitig ist TLS Inspection immer ein Betriebsprojekt und kein Klick nebenbei.

Kurz gesagt: Die globale NDR-Active-Threat-Intelligence-Funktion allein reicht nicht. Regeloption, HTTPS Scanning und SSL/TLS Inspection müssen zusammenpassen, sonst bleibt die Sichtbarkeit begrenzt.

Nicht alles auf einmal einschalten

Ich würde NDR Active Threat Intelligence nicht sofort auf jede Regel und jede Zone werfen. Technisch mag das in vielen Umgebungen funktionieren, betrieblich ist es aber selten der beste Start. Sinnvoller ist ein Rollout in Etappen:

  1. Benutzer-zu-Internet-Regeln prüfen.
  2. Server-zu-Internet-Regeln prüfen.
  3. DMZ- und veröffentlichte Dienste prüfen.
  4. Interne Segmentierungsregeln mit hohem Risiko prüfen.
  5. Logs und Detections nach einigen Tagen auswerten.

So erkennt man früh, ob bestimmte Anwendungen auffällige Muster erzeugen, ob TLS Inspection sauber funktioniert und ob die Event-Menge operativ beherrschbar bleibt.

Wo man die Detections sieht

Auf der Firewall selbst gibt es mehrere Wege, die Detections anzuschauen. Direkt im Bereich NDR Active Threat Intelligence zeigt ein Summary-Widget die Gesamtzahl der Erkennungen der letzten sieben Tage und eine Aufteilung nach Severity.

Für Details kann man die NDR Active Threat Intelligence Logs öffnen. Sophos verweist dabei auf den Log-Typ IPS. Alternativ kann man im Log Viewer nach Kategorie filtern:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Zusätzlich sind Auswertungen unter Reports > Network & Threat beziehungsweise bei Intrusion-Angriffen sichtbar.

In Sophos Central gibt es zwei wichtige Perspektiven:

  • Firewall Management > Report Generator, dort mit Report Template IPS
  • je nach XDR- oder MDR-Nutzung Threat Analysis Center > Detections und bei Bedarf Cases

Der erste Pfad ist in der Sophos-Dokumentation beschrieben. Der zweite Pfad kommt vor allem aus der Techvids-Demo und ist für XDR- und MDR-Umgebungen interessant. Dort sieht man Rohdaten wie Device Serial ID, Source IP und Destination IP und kann die Firewall-Erkennung mit anderen Signalen korrelieren.

Was bei einem Treffer passieren sollte

Ein NDR-Active-Threat-Intelligence-Treffer ist ein Untersuchungssignal. Er sollte nicht automatisch als erledigt gelten, nur weil irgendwo ein Logeintrag existiert. In einem guten Betriebsmodell sind mindestens diese Fragen geklärt:

  • Wer sieht diese Detections regelmässig?
  • Ab welcher Severity wird ein Ticket oder Case erstellt?
  • Welche Logs werden zusätzlich geprüft?
  • Gibt es einen Runbook-Schritt für Source IP, Destination IP und betroffene Benutzer?
  • Wird geprüft, ob derselbe Host Endpoint-, DNS-, Web- oder Identity-Auffälligkeiten zeigt?
  • Gibt es eine Entscheidung, wann ein Gerät isoliert oder eine Firewall-Regel angepasst wird?

Besonders wichtig: Wenn Sophos MDR im Einsatz ist, sollte klar sein, welche Rolle die MDR-Analysten übernehmen und welche Aktionen intern entschieden werden müssen. Wenn Sophos XDR ohne MDR betrieben wird, braucht es intern jemanden, der diese Detections auch wirklich liest und einordnet.

Beispiele aus der Praxis

Die spannendsten Beispiele sind nicht die lauten Angriffe, die ohnehin jedes IPS erkennt. Interessant sind die leisen Signale:

Living-off-the-Land

Wenn ein legitimes Tool wie certutil für einen verdächtigen Download verwendet wird, sieht das auf den ersten Blick nicht zwingend wie Malware aus. Genau solche Living-off-the-Land-Techniken sind in echten Angriffen beliebt, weil sie vorhandene Betriebssystemwerkzeuge missbrauchen und dadurch weniger auffallen.

NDR Active Threat Intelligence kann solche Muster sichtbar machen. Das heisst nicht automatisch, dass jeder Treffer kompromittiert ist. Es heisst aber: Dieser Host verdient Aufmerksamkeit.

Lateral Movement

Wenn ein infiziertes System beginnt, SSH-Hosts zu scannen, kann das ein Hinweis auf laterale Bewegung sein. Sophos nennt in der Dokumentation unter anderem NoaBot als Beispiel für dieses Muster. In segmentierten Umgebungen sollte ein Client ohnehin nicht frei alle Server oder Managementsysteme erreichen. Wenn solche Versuche sichtbar werden, ist das nicht nur ein Detection-Thema, sondern auch ein Hinweis auf Segmentierung.

Hier passt der Zusammenhang zum Beitrag Sophos NDR - Blinde Flecken im Netzwerk beseitigen: Netzwerkverkehr bleibt ein Ort, an dem Angreifer Spuren hinterlassen, selbst wenn Endpoint-Signale unvollständig sind.

Ungewöhnliche Protokollnutzung

HTTP über einen DNS-Port oder ausgehende Verbindungen, die Datenabfluss tarnen sollen, sind typische Beispiele für “das sieht technisch möglich, aber betrieblich falsch aus”. Sophos nennt beim Datenabfluss unter anderem Traffic über finger als Beispiel. Solche Muster sind selten durch eine einzelne Allow-/Deny-Regel sauber zu bewerten. Als Detection-Signal sind sie aber wertvoll.

Was die Funktion nicht ersetzt

NDR Active Threat Intelligence ist ein guter zusätzlicher Sensor, aber kein Ersatz für grundlegende Sicherheitsarbeit.

Die Funktion ersetzt nicht:

  • saubere Firewall-Regeln,
  • Segmentierung gegen Lateral Movement,
  • TLS-Inspection-Planung,
  • IPS-, Web- und DNS-Protection,
  • Endpoint Detection and Response,
  • Sophos MDR oder ein eigenes SOC,
  • ein SIEM mit klaren Use Cases,
  • Patch- und Hotfix-Prozesse,
  • regelmässige Reviews der Firewall-Konfiguration.

Die Funktion ersetzt auch nicht automatisch Sophos Central NDR mit dedizierter Sensor-VM. Diese Abgrenzung ist oben beschrieben und sollte vor einer Architekturentscheidung bewusst geprüft werden.

Meine Einordnung

Ich finde die Funktion interessant, weil sie eine Lücke zwischen klassischem Firewall-Schutz und Security Operations kleiner macht. Die Firewall ist ohnehin an einer starken Position im Netzwerk. Wenn dort zusätzliche NDR-Erkennungsmuster laufen und die Daten in Central, XDR oder MDR sichtbar werden, entsteht echter Mehrwert.

Aber der Wert entsteht nicht durch das Einschalten allein. Er entsteht durch drei Dinge:

  • passende Firewall-Regeln,
  • genügend Sichtbarkeit in HTTP und entschlüsseltem HTTPS,
  • einen Prozess, der Detections auswertet.

Wer bereits Sophos Central, Sophos XDR oder Sophos MDR nutzt, sollte NDR Active Threat Intelligence prüfen und in einem kontrollierten Pilot aktivieren. Wer die Firewall isoliert betreibt und keine Central-Reports oder Security-Operations-Prozesse nutzt, sollte zuerst die Grundlagen schaffen. Sonst produziert die Funktion im besten Fall interessante Logs, die niemand anschaut.

Meine Empfehlung ist daher pragmatisch: Erst mit wenigen relevanten Regeln starten, IPS-Logging prüfen, Central-Anbindung testen und danach entscheiden, wie breit man ausrollt. Für kontrollierte Testevents würde ich mich an der Techvids-Demo orientieren. In der Sophos-Community wurde erwähnt, dass dedizierte NDR-Active-Threat-Intelligence-Tests für sophostest.com erst noch ergänzt werden sollen.

Checkliste für Admins

Sofort prüfen

  • Läuft die Firewall auf SFOS 22.0 MR1 oder neuer?
  • Ist das Xstream Protection Bundle aktiv?
  • Ist die Firewall in Sophos Central registriert?
  • Werden Reports und Logs an Sophos Central gesendet?
  • Ist IPS-Logging aktiviert?
  • Gibt es relevante Firewall-Regeln, auf denen die Funktion getestet werden kann?

Beim Rollout beachten

  • NDR Active Threat Intelligence unter Active Threat Response aktivieren.
  • Severity-Level bewusst wählen.
  • Scan with NDR Active Threat Intelligence pro relevanter Firewall-Regel aktivieren.
  • HTTP-Scanning und entschlüsseltes HTTPS nur dort aktivieren, wo es betrieblich sauber geplant ist.
  • SSL/TLS Inspection Rules prüfen und Ausnahmen dokumentieren.
  • Detections auf der Firewall und in Sophos Central kontrollieren.
  • Testevents kontrolliert auslösen und dokumentieren.

Im Betrieb klären

  • Wer schaut Detections und Cases an?
  • Welche Severity erzeugt ein Ticket?
  • Welche Hosts werden bei Treffern priorisiert untersucht?
  • Welche Logs werden korreliert?
  • Wann wird ein Gerät isoliert?
  • Wie werden False Positives dokumentiert?
  • Wie oft werden Regeln, Severity und Event-Volumen reviewed?

Fazit

Sophos Firewall NDR Active Threat Intelligence ist kein weiteres Marketing-Label für eine bestehende Blockliste. Die Funktion bringt Taegis-NDR-Erkennungsmuster direkt in die Sophos Firewall und macht verdächtige Netzwerkaktivitäten besser sichtbar. Das ist besonders für XDR-, MDR- und SOC-Umgebungen spannend, weil Firewall-Signale damit stärker in Untersuchungen einfliessen können.

Die wichtigste Einschränkung bleibt aber: Es ist primär Detection und Logging. Wer sofortige Blockierung erwartet, muss die Funktion richtig einordnen. Wer Security Operations ernst nimmt, bekommt dagegen ein zusätzliches Signal, das gerade bei Living-off-the-Land, Lateral Movement und ungewöhnlicher Protokollnutzung hilfreich sein kann.

Für produktive Umgebungen würde ich deshalb mit einem kurzen Pilot, einem klaren Logging- und Case-Prozess und danach mit einem geplanten Rollout auf die wirklich relevanten Regeln starten. Dann kann NDR Active Threat Intelligence genau das leisten, was moderne Firewalls heute leisten müssen: nicht nur Traffic erlauben oder blockieren, sondern Angriffe früher sichtbar machen.

FAQ

Was ist Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence ist eine Erkennungsfunktion in Sophos Firewall 22.0 MR1. Die Firewall nutzt Taegis-NDR-Erkennungsmuster, erkennt verdächtigen Traffic, schreibt Events in die Logs und leitet sie an den Sophos Data Lake weiter.

Blockiert NDR Active Threat Intelligence Angriffe automatisch?

Die Funktion ist primär auf Logging und Detection ausgelegt. Die Aktion steht auf Log threats. Treffer dienen als Untersuchungssignal für Firewall-Logs, Sophos Central, XDR, MDR oder SOC-Analysen.

Welche Lizenz wird benötigt?

Für NDR Active Threat Intelligence wird ein Xstream Protection Bundle benötigt. Für weiterführende Analysen in Sophos XDR oder Sophos MDR sind zusätzlich die entsprechenden XDR- oder MDR-Lizenzen erforderlich.

Welche Firewalls werden unterstützt?

Unterstützt werden XGS Series Firewalls inklusive Gen.1 und Gen.2 sowie virtuelle, Software- und Cloud-Deployments. Nicht unterstützt sind XGS 88, XGS 88w, XGS 87 und XGS 87w.

Wo aktiviert man die Funktion?

Die Grundfunktion wird unter Active Threat Response > NDR Essentials and Active Threat Intelligence aktiviert. Zusätzlich muss in den relevanten Firewall-Regeln Scan with NDR Active Threat Intelligence eingeschaltet werden.

Ist NDR Active Threat Intelligence dasselbe wie Sophos NDR?

Nein. NDR Active Threat Intelligence bringt NDR-Erkennungsmuster auf die Sophos Firewall. Ein dedizierter Sophos-NDR-Sensor ist eine separate Architektur für breitere Netzwerksicht, typischerweise über SPAN/TAP und Sophos Central.

Braucht man mit NDR Active Threat Intelligence noch Third-Party Threat Feeds?

Ja, in vielen Umgebungen weiterhin. NDR Active Threat Intelligence erkennt verdächtige Verkehrsmuster und liefert Detection-Signale. Third-Party Threat Feeds wie Cybora liefern dagegen konkrete Indikatoren wie bösartige IPs, Domains oder URLs, die die Firewall aktiv blockieren kann. Beides ergänzt sich: NDR hilft beim Erkennen verdächtiger Muster, Threat Feeds reduzieren bekannten schädlichen Traffic bereits an der Netzwerkgrenze.

Wo sieht man die Detections?

Detections sieht man auf der Firewall im NDR-Active-Threat-Intelligence-Bereich, im Log Viewer, in Reports > Network & Threat und in Sophos Central Firewall Reporting. In XDR- oder MDR-Umgebungen können sie zusätzlich im Threat Analysis Center unter Detections oder Cases auftauchen.

Quellen

Patrizio

Patrizio

Patrizio ist ein erfahrener Netzwerk-Spezialist mit dem Schwerpunkt auf Sophos Firewalls, Switches und Access Points. Er unterstützt Kunden oder deren IT-Abteilung bei der Konfiguration und Migration von Sophos Firewalls und sorgt für eine optimale Netzwerksicherheit durch saubere Segmentierung und Firewall-Regelmanagement.