Ir al contenido
Avanet

Operar Sophos Firewall NDR y Active Threat Response

Sophos Firewall

Sophos Firewall puede proporcionar indicios adicionales de tráfico de red sospechoso con NDR Essentials y NDR Active Threat Intelligence. Esto es útil cuando se desea no solo bloquear ataques, sino también detectarlos, investigarlos y procesarlos en Sophos Central, XDR, MDR o un SIEM.

Es importante tener expectativas claras: NDR en el firewall no es un interruptor mágico que resuelve automáticamente todos los problemas. La función requiere licencias adecuadas, tráfico visible, tipos de registro activados, reglas de firewall seleccionadas conscientemente y un proceso para evaluar los resultados. Sin esta parte operativa, solo se generan registros adicionales.

Para indicadores clásicos de compromiso como direcciones IP maliciosas, dominios o URLs, primero configure y opere de manera segura Sophos Firewall Threat Feeds. Este artículo se centra en NDR Essentials, NDR Active Threat Intelligence y la evaluación operativa.

Separar claramente los términos

Sophos utiliza varios nombres similares. Para los administradores, es importante distinguirlos, ya que cada función opera de manera diferente.

FunciónQué sucedeUso típico
NDR EssentialsEl firewall analiza datos de flujo seleccionados y detecta IoCs como direcciones IP o dominios.Indicaciones basadas en red sin una VM de sensor separada.
NDR Active Threat IntelligenceEl firewall utiliza patrones NDR curados de Taegis, detecta tráfico sospechoso, registra eventos y los envía al Sophos Data Lake.Detección de alta señal para XDR, MDR u operaciones de seguridad.
Sophos Central NDRProducto NDR separado con su propia VM de sensor, típicamente a través de SPAN, Mirror o TAP.Vista más amplia del tráfico este-oeste, dispositivos no gestionados y movimientos internos de red.
Threat FeedsListas de IoC como IPs, dominios o URLs se verifican contra el tráfico.Bloquear o monitorear objetivos o fuentes maliciosas conocidas.

NDR Essentials y NDR Active Threat Intelligence amplían la visión del firewall. Sophos Central NDR es una arquitectura propia con un sensor separado. Los Threat Feeds de terceros son otro componente: trabajan basados en indicadores y pueden bloquear directamente según la acción.

Cuándo es útil su uso

NDR y Active Threat Response son especialmente útiles cuando un firewall no solo se opera como un filtro de paquetes, sino que es parte de un proceso de detección y respuesta.

Escenarios típicos:

  • El tráfico de Internet de los clientes debe verificarse en busca de objetivos o patrones sospechosos.
  • Los servidores o sistemas DMZ deben proporcionar señales de detección adicionales.
  • XDR, MDR o SOC deben incluir eventos de firewall en investigaciones.
  • Varias firewalls deben evaluarse centralmente en Sophos Central o un SIEM.
  • Ya existe un proceso para alertas, tickets, falsos positivos y escalación.

Es menos útil si nadie revisa los eventos, no se reenvían registros o no se ajustan las reglas de firewall relevantes. En ese caso, primero es más importante Central Firewall Reporting o Enviar Syslog de Sophos Firewall a SIEM.

Requisitos previos

Antes de la activación, deben verificarse estos puntos:

  • El firewall opera en una versión SFOS compatible.
  • El Xstream Protection Bundle está activo.
  • El firewall está registrado en Sophos Central si se van a utilizar Central Reporting, XDR o MDR.
  • Enviar informes y registros a Sophos Central está activo si se desea que las detecciones sean visibles en Sophos Central.
  • Los tipos de registro relevantes están activados en System services > Log settings.
  • Para NDR Active Threat Intelligence, el registro IPS está activo.
  • Para NDR Essentials, el registro de Active-Threat-Response está activo.
  • Hay un propietario definido para revisión, ajuste, excepciones y escalación.

Antes de la activación, deben verificarse los límites de la plataforma. NDR Essentials no admite implementaciones HA activas-activas. NDR Active Threat Intelligence no es compatible con XGS 87, XGS 87w, XGS 88 y XGS 88w. En entornos HA, primero debe revisarse Entender las variantes de clúster HA de Sophos Firewall.

Configurar NDR Essentials

NDR Essentials se configura en el área Protect > Active threat response o Active Threat Response > NDR Essentials and Active Threat Intelligence. La denominación exacta depende del estado de SFOS.

Procedimiento básico:

  1. Activar NDR Essentials.
  2. Añadir interfaces relevantes.
  3. Elegir la ubicación del centro de datos para el análisis.
  4. Establecer conscientemente el puntaje mínimo de amenaza.
  5. Revisar la acción. NDR Essentials detecta y registra inicialmente.
  6. Abrir System services > Log settings.
  7. Activar el registro para Active threat response.
  8. Guardar y, después de unos minutos, verificar Log Viewer, Reports o Central.

No se deben seleccionar interfaces al azar. Son útiles las interfaces por las que pasa tráfico relevante de clientes, servidores o DMZ. Las interfaces WAN no son el lugar adecuado para esta evaluación NDR; la planificación debe centrarse en zonas LAN, DMZ y personalizadas. También deben considerarse antes del despliegue los tipos de interfaz no compatibles como interfaces RED o XFRM.

Si no se seleccionan interfaces, NDR Essentials no detectará nuevos IoCs del tráfico. Sin embargo, el firewall puede seguir trabajando con IoCs ya detectados. Esto es fácil de pasar por alto en la operación.

Configurar NDR Active Threat Intelligence

NDR Active Threat Intelligence utiliza patrones de detección NDR curados de Taegis. El firewall detecta y registra eventos relevantes y los envía al Sophos Data Lake. Estas señales pueden investigarse luego en Sophos Central, XDR, MDR o en un contexto SOC.

Procedimiento básico:

  1. Abrir Active Threat Response > NDR Essentials and Active Threat Intelligence.
  2. Activar NDR Active threat intelligence.
  3. Elegir el nivel mínimo de severidad.
  4. Revisar Action. La acción está en Log threats.
  5. Abrir System services > Log settings.
  6. Activar el registro IPS.
  7. Guardar.
  8. Luego abrir las reglas de firewall relevantes.
  9. En Other security features, activar la opción Scan with NDR Active threat intelligence.
  10. Guardar cambios y validar con tráfico definido.

El último punto es crucial. La activación global por sí sola no es suficiente. NDR Active Threat Intelligence debe activarse en cada regla de firewall cuyo tráfico se desee analizar.

Qué reglas seleccionar primero

Un buen despliegue no comienza con todas las reglas a la vez. Es mejor un piloto controlado con tráfico bien comprendido.

Puntos de inicio recomendados:

  • Redes de clientes con acceso a Internet.
  • Redes de servidores con acceso saliente a Internet.
  • Reglas DMZ con servicios publicados.
  • Reglas para segmentos internos especialmente críticos.
  • Reglas con conceptos de IPS, Web o TLS Inspection ya activados.

Reglas sin registro claro, sin propietario o con tráfico muy amplio no clasificado no son un buen comienzo. Primero debe limpiarse la base de reglas. Para análisis de reglas y coincidencias, consulte Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture.

Visibilidad e inspección TLS

Las señales NDR son tan buenas como la visibilidad del firewall. Si el tráfico está cifrado y el firewall solo ve la IP de destino o SNI, algunos patrones permanecen invisibles. Si la inspección Web o TLS está bien planificada, el firewall puede verificar más contexto.

Esto no significa que se deba activar la inspección TLS en todas partes de inmediato. La inspección TLS es un proyecto operativo propio con certificados, excepciones, privacidad, rendimiento y esfuerzo de soporte. Para un despliegue planificado, consulte Introducir correctamente la inspección TLS de Sophos Firewall.

También QUIC y HTTP/3 pueden influir en los conceptos de inspección web. Si el tráfico del navegador pasa por alto las rutas clásicas de inspección HTTPS, debe verificarse Bloquear correctamente el protocolo QUIC y HTTP/3 en Sophos Firewall.

Registros y evaluación

Sin evaluación de registros, NDR es de poca utilidad. Dependiendo de la función, son relevantes diferentes áreas de registro.

ÁreaDónde verificar
NDR EssentialsRegistros de Active threat response, Indicadores de amenaza, Central Reporting o SIEM
NDR Active Threat IntelligenceRegistros IPS, Filtro de Log Viewer Category is NDR Active threat intelligence, Central Firewall Reporting
Evaluación XDR/MDRSophos Central Threat Analysis Center, Detecciones o Casos
Correlación a largo plazoSyslog, SIEM, plataforma SOC o MDR

Para Sophos Central, el firewall debe enviar registros e informes a Central. El procedimiento está en Activar y operar Sophos Firewall Central Reporting. Para un SIEM propio, el tipo de registro adecuado debe reenviarse mediante Syslog y analizarse en el sistema de destino. Solo activar la función no prueba que las detecciones sean localizables más tarde.

Puntos de verificación después de la activación:

  • ¿Aparecen entradas de registro locales en el Log Viewer?
  • ¿Se envían registros de Active-Threat-Response o IPS a Central?
  • ¿Llegan los registros al SIEM?
  • ¿Se reconocen correctamente campos como Source, Destination, Firewall, Rule ID y Category?
  • ¿Existe un panel de control o búsqueda para resultados NDR/ATR?
  • ¿Está claro quién evalúa los resultados?

Qué hacer ante un resultado

Un resultado es primero una señal de investigación. No todos los resultados son automáticamente un ataque confirmado, pero cada resultado relevante necesita un procedimiento.

Procedimiento mínimo:

  1. Registrar IP de origen, IP de destino, usuario, regla y hora.
  2. Verificar en Log Viewer qué regla y módulo estuvieron involucrados.
  3. Buscar en Central, XDR, MDR o SIEM otros eventos del mismo host.
  4. Correlacionar registros de Endpoint, DNS, Web y autenticación.
  5. Decidir si es necesaria la aislamiento, bloqueo de firewall, excepción de Threat Feed o análisis adicional.
  6. Documentar el resultado.

En caso de falsos positivos repetidos, no se debe establecer inmediatamente una excepción amplia. Es mejor una excepción estrecha con motivo, ticket y fecha de revisión. Las excepciones en Active Threat Response pueden eliminar la protección y, por lo tanto, deben formar parte de un proceso controlado.

Errores típicos

  • NDR Active Threat Intelligence se activa globalmente, pero no se enciende en las reglas de firewall.
  • NDR Essentials se activa, pero no se seleccionan interfaces adecuadas.
  • El registro IPS o Active-Threat-Response no está activo.
  • Central Reporting o Syslog no está configurado, aunque se espera una evaluación central.
  • Se generan detecciones, pero nadie las revisa.
  • La severidad o el puntaje de amenaza se establece demasiado sensible y genera ruido innecesario.
  • Las excepciones se establecen demasiado amplias.
  • Se planea Active-Active HA o modelos XGS pequeños, aunque la función no es compatible allí.
  • La inspección TLS se trata como un detalle menor en lugar de planificarse adecuadamente.

Lista de verificación

  • Versión SFOS y licencia verificadas.
  • Appliance o plataforma compatible confirmada.
  • Modo HA verificado.
  • Registro en Sophos Central verificado si se utiliza Central Reporting, XDR o MDR.
  • Tipos de registro relevantes activados en System services > Log settings.
  • Interfaces NDR Essentials seleccionadas conscientemente.
  • Ubicación del centro de datos y puntaje mínimo de amenaza documentados.
  • NDR Active Threat Intelligence activado.
  • Reglas de firewall relevantes con Scan with NDR Active threat intelligence.
  • Log Viewer, Central Reporting o SIEM verificados para resultados.
  • Propietario, proceso de alerta, proceso de falsos positivos e intervalo de revisión documentados.

Preguntas frecuentes

¿Es NDR Essentials lo mismo que NDR Active Threat Intelligence?

No. NDR Essentials analiza flujos de tráfico de firewall seleccionados y detecta IoCs como direcciones IP o dominios. NDR Active Threat Intelligence utiliza patrones NDR curados de Taegis, registra eventos sospechosos y los envía al Sophos Data Lake.

¿NDR Active Threat Intelligence bloquea automáticamente?

La función está principalmente diseñada para detección y registro. La acción está en Log threats. Los resultados deben evaluarse en registros, Central, XDR, MDR o SIEM y luego tratarse operativamente.

¿Por qué no se ven resultados de NDR Active Threat Intelligence?

A menudo, la función está activa globalmente, pero no se enciende en las reglas de firewall adecuadas. Además, el registro IPS debe estar activo y el tráfico afectado debe pasar por una regla donde Scan with NDR Active threat intelligence esté activado.

¿Se necesitan Threat Feeds de terceros a pesar de NDR?

Sí, en muchos entornos las funciones se complementan. NDR proporciona señales de detección y reconocimiento de patrones. Los Threat Feeds de terceros pueden monitorear o bloquear IPs, dominios o URLs maliciosos conocidos basados en listas externas.

¿Reemplaza el NDR de firewall a un SIEM o MDR?

No. El NDR de firewall proporciona señales adicionales. Para correlación a largo plazo, alertas, manejo de casos y respuesta a incidentes, se necesita Central Reporting, XDR, MDR, SIEM o un proceso interno claro.