Ir al contenido
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Con SFOS 22.0 MR1, Sophos ha incorporado una nueva función de detección en Sophos Firewall: NDR Active Threat Intelligence. El nombre suena a otro gran bloque de seguridad, pero técnicamente conviene situarlo con algo más de precisión. El firewall utiliza patrones de detección de Taegis NDR. En la comunidad de Sophos se menciona iSensor como motor IPS procedente del mundo Secureworks o Taegis, cuyos patrones llegan ahora a SFOS. El objetivo principal no es bloquear de forma estricta cada detección al instante, sino hacer visibles las actividades sospechosas en la red y ponerlas a disposición de análisis XDR, MDR o SOC.

Esa diferencia es importante. Muchos administradores piensan primero en bloqueo cuando hablan de seguridad en el firewall: IPS bloquea, Web Protection bloquea, DNS Protection bloquea, Threat Feeds bloquean. NDR Active Threat Intelligence funciona de otra manera. La función detecta tráfico potencialmente malicioso o sospechoso, escribe eventos en los logs y envía los datos al Sophos Data Lake. Allí pueden investigarse con más detalle en Sophos Central, en el Threat Analysis Center, para Sophos XDR, Sophos MDR o un SOC.

Desde mi punto de vista, es un complemento razonable, pero no un sustituto mágico de un concepto real de Detection and Response. Quien simplemente active la función y después nunca revise logs, detections o cases ganará poco. Quien la integre conscientemente en reglas de firewall, TLS Inspection, reporting y procesos de incidentes obtendrá señales adicionales justo donde muchos ataques se hacen visibles: en el tráfico de red.

Qué hace NDR Active Threat Intelligence

NDR Active Threat Intelligence utiliza patrones de detección de alta señal procedentes de Taegis NDR. Sophos Firewall comprueba el tráfico correspondiente contra esos patrones, genera eventos de detección y los envía al Data Lake. Sophos describe la función como detección de tráfico potencialmente malicioso y atacantes activos dentro de la red.

En la práctica, se trata de situaciones que no siempre son lo bastante claras para la prevención clásica, pero que son importantes para una investigación:

  • una herramienta de Windows de confianza como certutil, utilizada indebidamente para descargas sospechosas,
  • un sistema comprometido que escanea hosts con SSH, por ejemplo en el contexto de NoaBot,
  • tráfico HTTP inusual a través de un puerto en el que normalmente se esperaría DNS,
  • tráfico saliente que parece exfiltración de datos o comunicación oculta, por ejemplo mediante la antigua herramienta finger.

Estas señales no siempre son automáticamente un ataque confirmado. Precisamente por eso, la acción en la configuración está orientada a Log threats. El firewall recopila indicios, los hace visibles y los pone a disposición para correlación. Si se suman otras señales, como eventos de endpoint, indicios de identidad u otros logs del firewall, puede generarse una detección sólida o un case.

Por qué no es lo mismo que ATP o los Threat Feeds clásicos

Una pregunta evidente es: ¿es simplemente Advanced Threat Protection con otro nombre? Más bien no. En la Sophos Community, la nueva opción de regla de firewall se describió acertadamente como nuevos o mejores patrones IPS, no como ATP clásico. La diferencia es importante porque también aclara qué se puede esperar de la función.

Advanced Threat Protection y Sophos X-Ops Threat Feeds trabajan más con reputación e indicadores. Se trata de IPs, dominios, URLs o indicadores de Command and Control conocidos como maliciosos. Estos feeds son muy valiosos cuando un destino o remitente ya se conoce como dañino. Esto también encaja con el artículo anterior sobre Threat Intelligence Feeds para el firewall.

NDR Active Threat Intelligence observa más bien patrones de tráfico sospechosos. El propio tráfico aporta indicios: uso inusual de protocolos, descargas sospechosas, comportamiento de Lateral Movement o comunicaciones que no encajan con el uso esperado. Esto está más cerca de Network Detection and Response que de una simple blocklist.

Hay un segundo punto importante: ATP está pensado de forma más global en el sistema, mientras que NDR Active Threat Intelligence se activa además en las reglas de firewall relevantes. Por tanto, se decide por regla o por ruta de tráfico qué tráfico debe analizarse con estos patrones.

Requisitos y plataformas compatibles

NDR Active Threat Intelligence es una función para Sophos Firewall 22.0 MR1. En las Release Notes aparece para la versión 22.0 MR1 Build 490, publicada el 20 de abril de 2026.

Para su uso, estos puntos son especialmente relevantes:

  • Se necesita un Sophos Firewall con Xstream Protection Bundle.
  • Son compatibles los XGS Series Firewalls, incluidos Gen.1 y Gen.2, así como despliegues virtuales, software y cloud.
  • Son compatibles, entre otros, VMware, KVM, Hyper-V, Azure, AWS, XEN y Software-Appliances.
  • No son compatibles XGS 88, XGS 88w, XGS 87 ni XGS 87w.
  • Para análisis XDR se necesita una licencia Sophos XDR.
  • Para análisis MDR se necesita MDR Essentials o MDR Complete.
  • Para Sophos Central Reporting, los reports y logs deben enviarse a Sophos Central.
  • El firewall debe estar registrado en Sophos Central si se quieren utilizar las vistas de Central.
  • Según la nota de Techvids, Sophos Firewall Home Edition no es compatible actualmente.

El punto de XGS 87 y XGS 88 es importante, pero no es el único control operativo. Los modelos de escritorio más pequeños no son compatibles con esta función, aunque puedan utilizar versiones actuales de SFOS. Quien trabaje en pequeñas sedes externas o sucursales con XGS 87, XGS 87w, XGS 88 o XGS 88w no debería planificar NDR Active Threat Intelligence como módulo de protección disponible. Al mismo tiempo, la licencia por sí sola no basta: Central Reporting, la conexión al Data Lake y el IPS Logging deben estar correctamente activados, de lo contrario el valor operativo sigue siendo reducido.

NDR Active Threat Intelligence, NDR Essentials o Sophos Central NDR?

Los nombres se parecen, pero no significan lo mismo. NDR Essentials es la función de flujos cercana al firewall: Sophos Firewall recopila los flujos de red, el análisis se realiza en la nube de Sophos y no se necesita una VM de sensor separada. Es útil en entornos donde el firewall ve los flujos de datos relevantes y se quiere empezar sin una appliance adicional.

NDR Active Threat Intelligence es el nuevo componente del lado del firewall. Utiliza patrones curados de Taegis/iSensor y se activa además en las reglas de firewall relevantes. No es una appliance NDR separada, sino señales de detección y logging sobre el tráfico que el firewall procesa realmente.

Sophos Central NDR es el producto NDR independiente con una VM de sensor virtual dedicada. Este sensor suele conectarse de forma pasiva mediante un puerto SPAN, Mirror o TAP y por eso también puede ver tráfico este-oeste interno, dispositivos unmanaged, sistemas IoT/OT o assets no autorizados que, según la arquitectura, quizá nunca pasan por el firewall. En resumen: NDR Essentials y NDR Active Threat Intelligence amplían la visión del firewall. Sophos Central NDR ofrece una visión de red más amplia mediante su propia VM de sensor.

Dónde se activa la función

La configuración básica se realiza en Sophos Firewall en:

Active Threat Response > NDR Essentials and Active Threat Intelligence

Antes, el punto de menú se llamaba solo NDR Essentials. Con SFOS 22.0 MR1 se amplió y se renombró a NDR Essentials and Active Threat Intelligence, porque ahora ambos ámbitos se agrupan ahí.

Activar Sophos Firewall NDR Essentials and Active Threat Intelligence
NDR Essentials y NDR Active Threat Intelligence se configuran en Active Threat Response.

Allí se activa NDR Active Threat Intelligence y se elige una severidad mínima. Sophos menciona cinco niveles de Severity:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

La selección determina qué patrones se tienen en cuenta. Si se selecciona Warning, se consideran todos los patrones de Critical a Warning. Si se selecciona Critical, solo se evalúan los patrones críticos. Suena trivial, pero en operación es importante. Un umbral demasiado alto puede ocultar indicadores tempranos interesantes. Un umbral demasiado bajo puede generar muchos más eventos en redes grandes.

Mi recomendación: no empezar a ciegas con la configuración más sensible. Es mejor realizar un piloto definido con pocas reglas relevantes, logging limpio y una evaluación posterior. Después se puede decidir si el nivel de Severity encaja o si conviene ampliar el despliegue paso a paso.

La siguiente demo de Sophos muestra de forma compacta la activación y el proceso de prueba en la GUI del firewall:

Las reglas de firewall son decisivas

Tras la activación, el firewall recuerda que NDR Active Threat Intelligence también debe activarse en las reglas de firewall adecuadas. Este es uno de los puntos más importantes, porque de lo contrario la función no se aplica al tráfico deseado.

En las reglas, la opción se encuentra en Rules and policies > Firewall rules. Dentro de la regla correspondiente se baja hasta la sección Other security features.

Allí debe activarse Scan with NDR Active Threat Intelligence. Este paso debe realizarse para cada regla cuyo tráfico deba analizarse. Normalmente afecta a reglas para tráfico de usuarios hacia Internet, tráfico de servidores, tráfico de DMZ o determinadas rutas de comunicación interna.

Regla de Sophos Firewall con Scan with NDR Active Threat Intelligence
En las reglas de firewall también debe activarse Scan with NDR Active Threat Intelligence.

En la guía de Techvids también se indica que Scan HTTP and decrypted HTTPS debe estar activado y que las SSL/TLS Inspection Rules deben estar en Decrypt si se quiere inspeccionar tráfico HTTPS descifrado. Es lógico: cuanto menos ve el firewall del tráfico, menos puede detectar con sentido. Al mismo tiempo, TLS Inspection siempre es un proyecto operativo y no un simple clic adicional.

En resumen: la función global NDR Active Threat Intelligence por sí sola no basta. La opción de la regla, HTTPS Scanning y SSL/TLS Inspection deben encajar; de lo contrario, la visibilidad queda limitada.

No activarlo todo de golpe

Yo no activaría NDR Active Threat Intelligence inmediatamente en todas las reglas y zonas. Técnicamente puede funcionar en muchos entornos, pero operativamente rara vez es el mejor punto de partida. Tiene más sentido un despliegue por etapas:

  1. Revisar reglas de usuarios hacia Internet.
  2. Revisar reglas de servidores hacia Internet.
  3. Revisar DMZ y servicios publicados.
  4. Revisar reglas internas de segmentación con alto riesgo.
  5. Evaluar logs y detections después de unos días.

Así se detecta pronto si determinadas aplicaciones generan patrones llamativos, si TLS Inspection funciona correctamente y si el volumen de eventos sigue siendo manejable en operación.

Dónde se ven las detections

En el propio firewall hay varias formas de ver las detections. Directamente en el área NDR Active Threat Intelligence, un widget de resumen muestra el número total de detecciones de los últimos siete días y una distribución por Severity.

Para más detalle se pueden abrir los NDR Active Threat Intelligence Logs. Sophos remite al tipo de log IPS. Como alternativa, en el Log Viewer se puede filtrar por categoría:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Además, las evaluaciones son visibles en Reports > Network & Threat o en ataques de intrusión.

En Sophos Central hay dos perspectivas importantes:

  • Firewall Management > Report Generator, allí con Report Template IPS
  • según el uso de XDR o MDR, Threat Analysis Center > Detections y, si es necesario, Cases

La primera ruta está descrita en la documentación de Sophos. La segunda procede sobre todo de la demo de Techvids y es interesante para entornos XDR y MDR. Allí se ven datos brutos como Device Serial ID, Source IP y Destination IP, y se puede correlacionar la detección del firewall con otras señales.

Qué debería pasar ante una detección

Una detección de NDR Active Threat Intelligence es una señal de investigación. No debería darse automáticamente por resuelta solo porque exista una entrada de log en algún sitio. En un buen modelo operativo, al menos estas preguntas están aclaradas:

  • ¿Quién revisa estas detections de forma regular?
  • ¿A partir de qué Severity se crea un ticket o case?
  • ¿Qué logs adicionales se revisan?
  • ¿Existe un paso de runbook para Source IP, Destination IP y usuarios afectados?
  • ¿Se comprueba si el mismo host muestra anomalías de Endpoint, DNS, Web o Identity?
  • ¿Existe una decisión sobre cuándo aislar un dispositivo o ajustar una regla de firewall?

Especialmente importante: si se utiliza Sophos MDR, debe quedar claro qué papel asumen los analistas MDR y qué acciones deben decidirse internamente. Si se utiliza Sophos XDR sin MDR, se necesita internamente alguien que lea y clasifique realmente estas detections.

Ejemplos de la práctica

Los ejemplos más interesantes no son los ataques ruidosos que cualquier IPS detecta de todos modos. Lo interesante son las señales discretas:

Living-off-the-Land

Cuando una herramienta legítima como certutil se utiliza para una descarga sospechosa, a primera vista no necesariamente parece malware. Precisamente estas técnicas Living-off-the-Land son populares en ataques reales porque abusan de herramientas existentes del sistema operativo y por eso llaman menos la atención.

NDR Active Threat Intelligence puede hacer visibles esos patrones. Eso no significa automáticamente que cada detección indique una máquina comprometida. Pero sí significa: ese host merece atención.

Lateral Movement

Si un sistema infectado empieza a escanear hosts SSH, puede ser un indicio de movimiento lateral. Sophos cita en la documentación, entre otros, NoaBot como ejemplo de este patrón. En entornos segmentados, un cliente no debería poder llegar libremente a todos los servidores o sistemas de gestión. Cuando esos intentos se hacen visibles, no es solo un tema de detección, sino también una señal sobre la segmentación.

Aquí encaja la relación con el artículo Sophos NDR: eliminar puntos ciegos en la red: el tráfico de red sigue siendo un lugar donde los atacantes dejan rastros, incluso cuando las señales de endpoint son incompletas.

Uso inusual de protocolos

HTTP sobre un puerto DNS o conexiones salientes que pretenden ocultar exfiltración de datos son ejemplos típicos de “esto es técnicamente posible, pero operativamente incorrecto”. Sophos menciona, entre otros, tráfico mediante finger como ejemplo de exfiltración de datos. Estos patrones rara vez se pueden valorar limpiamente con una sola regla Allow/Deny. Como señal de detección, sin embargo, son valiosos.

Qué no sustituye esta función

NDR Active Threat Intelligence es un buen sensor adicional, pero no sustituye el trabajo básico de seguridad.

La función no sustituye:

  • reglas de firewall limpias,
  • segmentación contra Lateral Movement,
  • planificación de TLS Inspection,
  • IPS, Web Protection y DNS Protection,
  • Endpoint Detection and Response,
  • Sophos MDR o un SOC propio,
  • un SIEM con Use Cases claros,
  • procesos de patches y hotfixes,
  • revisiones periódicas de la configuración del firewall.

La función tampoco sustituye automáticamente a Sophos Central NDR con una VM de sensor dedicada. Esta diferencia se describe más arriba y debería revisarse conscientemente antes de tomar una decisión de arquitectura.

Mi valoración

Me parece una función interesante porque reduce la distancia entre la protección clásica del firewall y Security Operations. El firewall ya ocupa una posición fuerte en la red. Si ahí se ejecutan patrones adicionales de detección NDR y los datos se hacen visibles en Central, XDR o MDR, se genera un valor real.

Pero el valor no aparece solo por activar la función. Aparece por tres cosas:

  • reglas de firewall adecuadas,
  • visibilidad suficiente en HTTP y HTTPS descifrado,
  • un proceso que evalúa las detections.

Quien ya utilice Sophos Central, Sophos XDR o Sophos MDR debería revisar NDR Active Threat Intelligence y activarlo en un piloto controlado. Quien opere el firewall de forma aislada y no utilice Central Reports ni procesos de Security Operations debería crear primero esas bases. De lo contrario, en el mejor de los casos la función producirá logs interesantes que nadie mira.

Por eso mi recomendación es pragmática: empezar con pocas reglas relevantes, revisar IPS Logging, probar la conexión con Central y después decidir hasta dónde ampliar el despliegue. Para testevents controlados, me orientaría por la demo de Techvids. En la Sophos Community se mencionó que todavía deben añadirse pruebas dedicadas de NDR Active Threat Intelligence para sophostest.com.

Checklist para administradores

Comprobar de inmediato

  • ¿Está el firewall ejecutando SFOS 22.0 MR1 o una versión más reciente?
  • ¿Está activo el Xstream Protection Bundle?
  • ¿Está el firewall registrado en Sophos Central?
  • ¿Se envían reports y logs a Sophos Central?
  • ¿Está activado IPS Logging?
  • ¿Hay reglas de firewall relevantes en las que se pueda probar la función?

Tener en cuenta durante el rollout

  • Activar NDR Active Threat Intelligence en Active Threat Response.
  • Elegir conscientemente el nivel de Severity.
  • Activar Scan with NDR Active Threat Intelligence por cada regla de firewall relevante.
  • Activar HTTP Scanning y HTTPS descifrado solo donde esté operativamente bien planificado.
  • Revisar las SSL/TLS Inspection Rules y documentar excepciones.
  • Controlar detections en el firewall y en Sophos Central.
  • Generar y documentar testevents de forma controlada.

Aclarar en operación

  • ¿Quién revisa detections y cases?
  • ¿Qué Severity genera un ticket?
  • ¿Qué hosts se investigan con prioridad cuando hay detecciones?
  • ¿Qué logs se correlacionan?
  • ¿Cuándo se aísla un dispositivo?
  • ¿Cómo se documentan los false positives?
  • ¿Con qué frecuencia se revisan reglas, Severity y volumen de eventos?

Conclusión

Sophos Firewall NDR Active Threat Intelligence no es otra etiqueta de marketing para una blocklist existente. La función lleva patrones de detección de Taegis NDR directamente a Sophos Firewall y mejora la visibilidad de actividades de red sospechosas. Esto es especialmente interesante para entornos XDR, MDR y SOC, porque las señales del firewall pueden integrarse con más fuerza en las investigaciones.

La limitación más importante sigue siendo esta: es principalmente Detection y Logging. Quien espere bloqueo inmediato debe clasificar correctamente la función. En cambio, quien se tome en serio Security Operations obtiene una señal adicional que puede ser especialmente útil en Living-off-the-Land, Lateral Movement y uso inusual de protocolos.

Para entornos productivos, por tanto, empezaría con un piloto corto, un proceso claro de logging y case, y después un rollout planificado en las reglas realmente relevantes. Entonces NDR Active Threat Intelligence puede hacer exactamente lo que las firewalls modernas deben hacer hoy: no solo permitir o bloquear tráfico, sino hacer visibles los ataques antes.

FAQ

¿Qué es Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence es una función de detección en Sophos Firewall 22.0 MR1. El firewall utiliza patrones de detección de Taegis NDR, detecta tráfico sospechoso, escribe eventos en los logs y los envía al Sophos Data Lake.

¿NDR Active Threat Intelligence bloquea ataques automáticamente?

La función está orientada principalmente a logging y detection. La acción está configurada como Log threats. Las detecciones sirven como señal de investigación para logs de firewall, Sophos Central, XDR, MDR o análisis SOC.

¿Qué licencia se necesita?

Para NDR Active Threat Intelligence se necesita un Xstream Protection Bundle. Para análisis avanzados en Sophos XDR o Sophos MDR también se necesitan las licencias XDR o MDR correspondientes.

¿Qué firewalls son compatibles?

Son compatibles los XGS Series Firewalls, incluidos Gen.1 y Gen.2, así como despliegues virtuales, software y cloud. No son compatibles XGS 88, XGS 88w, XGS 87 ni XGS 87w.

¿Dónde se activa la función?

La función básica se activa en Active Threat Response > NDR Essentials and Active Threat Intelligence. Además, en las reglas de firewall relevantes debe activarse Scan with NDR Active Threat Intelligence.

¿NDR Active Threat Intelligence es lo mismo que Sophos NDR?

No. NDR Active Threat Intelligence lleva patrones de detección NDR a Sophos Firewall. Un sensor Sophos NDR dedicado es una arquitectura separada para una visión de red más amplia, normalmente mediante SPAN/TAP y Sophos Central.

¿Con NDR Active Threat Intelligence siguen haciendo falta Third-Party Threat Feeds?

Sí, en muchos entornos siguen siendo necesarios. NDR Active Threat Intelligence detecta patrones de tráfico sospechosos y aporta señales de detección. Third-Party Threat Feeds como Cybora aportan, en cambio, indicadores concretos como IPs, dominios o URLs maliciosos que el firewall puede bloquear activamente. Ambos enfoques se complementan: NDR ayuda a detectar patrones sospechosos, mientras que Threat Feeds reducen tráfico malicioso conocido ya en el perímetro de red.

¿Dónde se ven las detections?

Las detections se ven en el firewall, en el área NDR Active Threat Intelligence, en el Log Viewer, en Reports > Network & Threat y en Sophos Central Firewall Reporting. En entornos XDR o MDR, también pueden aparecer en el Threat Analysis Center bajo Detections o Cases.

Fuentes

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.