Ir al contenido
Avanet

Configurar y operar Threat Feeds en Sophos Firewall

Sophos Firewall Threat Feeds de Cybora proporciona fuentes continuas de inteligencia sobre amenazas que importan automáticamente indicadores de compromiso (IoC) a Sophos Firewall. Estos IoC son, por ejemplo, direcciones IP maliciosas, dominios de malware, URL de phishing o servidores C&C de botnets conocidos.

Para el contexto general de hardening, sirve el hub Sophos Firewall Hardening: buenas prácticas para una configuración segura.

Esto elimina gran parte del esfuerzo de mantenimiento manual. En lugar de rastrear manualmente direcciones IP o dominios de atacantes individuales en objetos de host, reglas de firewall o listas de bloqueo, el firewall extrae automáticamente los datos de una fuente seleccionada y puede bloquear el tráfico apropiado.

Esto es especialmente útil cuando el cortafuegos es visible desde el exterior. Los bots, los escáneres y los marcos de explotación automatizados suelen encontrar muy rápidamente las IP públicas, las reglas DNAT, las publicaciones WAF, los portales VPN o los accesos WebAdmin. Una buena fuente de amenazas reduce este tráfico no deseado antes de que penetre más profundamente en el entorno.

En resumen: Threat Feeds son potentes cuando se entienden como un proceso operativo. Elegir el feed, definir correctamente el tipo de indicador, probar primero de forma visible, bloquear después, revisar los hits periódicamente y gestionar False Positives de forma limpia. Añadir simplemente una lista enorme no es una buena estrategia de seguridad.

Contexto

Qué son los Threat Feeds

Las fuentes de amenazas son listas de indicadores de compromiso. En la práctica, estos son indicios de una infraestructura maliciosa conocida:

  • Direcciones IP: Escáneres, botnets, sistemas comprometidos o servidores de comando y control.
  • Dominios: Malware, phishing o dominios C2.
  • URL: rutas maliciosas específicas o enlaces de descarga.

Dependiendo del proveedor, estos feeds provienen de organizaciones de seguridad, consorcios industriales, comunidades de código abierto, inteligencia comercial sobre amenazas, honeypots o sus propios sensores. En Sophos Firewall v21, la función se ha ampliado para incluir fuentes de terceros integradas a través de Active Threat Response Framework.

Las ventajas son claras:

  • Protección proactiva: Bloquea las amenazas antes de que se produzcan daños.
  • Flexibilidad: Utilice feeds de diferentes proveedores, adaptados a los requisitos individuales.
  • Automatización: El firewall se bloquea automáticamente; La intervención manual ya no es necesaria.
  • Alivio: El tráfico no deseado se descarta antes y ni siquiera llega a los servicios internos.

No mezclar los módulos de Threat Feed

Bajo Active threat response hay varias funciones una junto a otra. Los nombres suenan parecidos, pero resuelven tareas distintas.

  • Sophos X-Ops Threat Feeds: Indicadores propios de Sophos para amenazas conocidas. En operación, activar la función de Network Protection y revisar logs.
  • MDR Threat Feeds: Inteligencia de amenazas del contexto Sophos MDR/XDR. En operación, conectar proceso MDR/Central y firewall logging.
  • Third-Party Threat Feeds: Listas IoC externas como Cybora como feed de IP, Domain o URL. En operación, responsabilizarse de calidad del feed, acción, sincronización y excepciones.
  • NDR Essentials / NDR Active Threat Intelligence: Detección de patrones de tráfico sospechosos en lugar de una simple lista IoC. En operación, evaluar señales de detección y no confundirlas con una blocklist.

Este artículo trata sobre todo Third-Party Threat Feeds. Para NDR y Active Threat Intelligence encaja Operar Sophos Firewall NDR y Active Threat Response.

Áreas de aplicación típicas

Los feeds de amenazas no sólo son interesantes para el tráfico saliente de clientes. En la práctica, se puede observar el acceso automatizado muy rápidamente, especialmente en los servicios de acceso público.

  • DNAT en servidores internos: Los port forwardings se escanean rápidamente. Un feed IPv4 puede bloquear fuentes maliciosas conocidas antes de que lleguen al servidor interno.
  • Publicaciones WAF: Los servidores web suelen ver bot traffic, CVE scans, CMS probes y Credential-Stuffing. Threat Feeds complementan las reglas WAF con reputación.
  • VPN Portal, User Portal y WebAdmin: Los portales deben protegerse primero mediante Device Access, MFA y redes de origen. Threat Feeds reducen además fuentes de ataque conocidas.
  • Tráfico saliente de clientes: Los feeds de Domain y URL pueden bloquear destinos conocidos de malware, phishing o C2.
  • Direcciones WAN muy escaneadas: Si una IP pública ve constantemente bot traffic, un buen feed IPv4 puede aliviar de forma notable la firewall y los logs.

Desde SFOS 22, Threat Feeds son especialmente interesantes para tráfico entrante y reenviado como DNAT y WAF. La firewall puede detectar así fuentes maliciosas conocidas también delante de servicios publicados. En instalaciones antiguas o estados mixtos, este punto debe revisarse conscientemente antes de asumir el mismo nivel de protección.

Pero los feeds de amenazas no reemplazan la publicación limpia. Si se puede acceder a un servicio a través de DNAT o WAF, solo se deben abrir los puertos necesarios, restringir las redes o países de origen, activar las reglas IPS/WAF y verificar los registros. Las fuentes de amenazas son un componente de protección adicional, no un pase libre para las reglas generales de Any.

Requisitos y licencia

Para utilizar Third-Party Threat Feeds en Sophos Firewall se necesita el Xstream Protection Bundle. Para este módulo no se necesitan licencias adicionales de Sophos Central. Otros módulos Threat Feed tienen requisitos propios: Sophos X-Ops Threat Feeds requiere Network Protection, MDR Threat Feeds requiere además Sophos MDR Essentials o MDR Complete en Sophos Central, y NDR Essentials requiere Xstream Appliance Bundle.

Además, debes comprobar antes del lanzamiento:

  • El firewall se ejecuta en una versión SFOS con soporte para fuentes de amenazas de terceros.
  • El firewall puede acceder a la URL del feed a través de DNS y HTTPS.
  • Se utiliza un tipo de indicador claro por feed, por ejemplo IPv4 address, Domain o URL.
  • El feed es un archivo de texto plano con un indicador por línea.
  • Rangos IP, direcciones IPv6, direcciones de red, dominios wildcard y expresiones regulares no son el formato adecuado para Third-Party Threat Feeds.
  • El registro de respuesta activa a amenazas está habilitado.
  • Queda claro si al principio sólo se observa el feed o si se bloquea directamente.

Recomendación práctica: introducir primero los nuevos feeds de forma controlada. Si la firewall lo permite, comenzar con una fase de observación, revisar los hits en Log Viewer y después pasar al bloqueo. Así se detecta pronto si sistemas legítimos podrían verse afectados.

URL-Feeds y TLS Inspection

Las fuentes de IP y dominios son en su mayoría fáciles de entender. Los feeds de URL son un poco más exigentes porque el firewall necesita ver la ruta de URL relevante. Con el tráfico HTTPS, esto no siempre es posible sin un descifrado adecuado.

Si se van a utilizar las fuentes de URL de forma productiva, debe comprobar si el proxy web, el motor DPI y la inspección TLS se adaptan al entorno. Sin una visión clara del tráfico HTTPS, un feed de URL puede ser menos efectivo de lo esperado.

Planificación antes del rollout

¿Monitor o Block?

Un Threat Feed puede monitorizar o bloquear según la versión SFOS y la configuración. Para seguridad productiva, bloquear suele ser el objetivo, pero no todos los feeds deben ir ciegamente al modo Block desde el principio.

  • Monitor: Hacer visibles los hits sin bloquear tráfico directamente. Revisar volumen de logs, fuentes/destinos afectados y hits inesperados.
  • Block: Detener activamente indicadores maliciosos conocidos. Preparar proceso de False Positives, alertas y excepciones.
  • Review: Comprobar eficacia y efectos secundarios. Evaluar calidad del feed, hits antiguos, casos de soporte y riesgo de negocio.

En servicios muy expuestos, un feed IPv4 bien curado puede reducir directamente mucho ruido. Con feeds de Domain o URL conviene ser más prudente, porque servicios legítimos pueden usar con más frecuencia infraestructura compartida, CDNs o redirecciones.

Orden y posición de los feeds

Al añadir un Third-Party Feed se puede definir la posición del feed. Parece banal, pero ayuda en operación: los feeds críticos y bien curados deben tener nombres claros y estar ordenados. Feeds de prueba, temporales o fuentes con mayor riesgo de False Positives no deberían quedar ocultos entre feeds productivos.

Convención práctica de nombres:

  • Feed IPv4 productivo en modo Block: cybora-premium-ipv4-block
  • Domain-Feed en modo Monitor: cybora-standard-domain-monitor
  • Feed temporal de incidente: incident-2026-06-c2-ipv4

Un buen nombre muestra proveedor, plan o propósito, tipo de indicador y acción. Esto ahorra tiempo en Log Viewer y en reviews posteriores.

Sincronización y Storage Quota

Sophos Firewall muestra en Third-Party Threat Feeds los feeds activos, el número total de Threat Indicators, Storage Quota y estado de sincronización. Estos valores no deben ignorarse después de la configuración.

Controles importantes:

  • Sync status: Success, Fetching o Disabled se clasifican rápidamente. Con Authentication error, Connection error, Storage full, SSL/TLS error o Failed, revisar de forma específica la causa y el feed.
  • Last updated: La marca temporal encaja con el intervalo de polling esperado.
  • Storage quota: La firewall todavía tiene suficiente espacio para los IoCs cargados.
  • Threat indicators: El número encaja aproximadamente con lo esperado del proveedor.
  • Synchronize now: La sincronización manual funciona cuando un cambio no debe esperar al siguiente intervalo de polling.

Si la Storage Quota está llena, no significa automáticamente que el proveedor del feed tenga la culpa. Las appliances pequeñas tienen menos margen que los modelos grandes. La firewall sigue obteniendo IoCs en el intervalo configurado y actualiza la lista cuando vuelve a haber espacio. Aun así conviene revisar alcance del feed, tipos de indicadores y prioridad, en lugar de añadir cada vez más listas.

En modelos XGS pequeños, el intervalo de polling también puede estar limitado. Según Sophos, XGS 87/87w, 88/88w y 107/107w solo admiten 24h, 7d y 30d como opciones de Polling interval para Third-Party Threat Feeds. Si un feed contratado se actualiza con mayor frecuencia, esta diferencia de plataforma debe tenerse en cuenta en las expectativas de actualidad y efecto de bloqueo.

En modelos XGS pequeños, el intervalo de polling también puede estar limitado. Según Sophos, XGS 87/87w, 88/88w y 107/107w solo admiten 24h, 7d y 30d como opciones de Polling interval para Third-Party Threat Feeds. Si un feed contratado se actualiza con mayor frecuencia, esta diferencia de plataforma debe tenerse en cuenta en las expectativas de actualidad y efecto de bloqueo.

De la fuente de amenazas gratuita a la definitiva: por Cybora

La inteligencia de amenazas fiable y actualizada es decisiva. Por eso Avanet utiliza planes de Threat Feed curados de Cybora, diseñados específicamente para su uso en Sophos Firewalls.

Los feeds se compilan a partir de varias fuentes para lograr una detección de amenazas lo más amplia y fiable posible. Incluyen datos de comunidad y OSINT, información comercial adquirida, resultados de honeypots y logs anonimizados de ataques, errores y anomalías procedentes de entornos Sophos Firewall operados en la práctica.

Gratis (Básico) es adecuado para usuarios domésticos, PoC y pruebas de compatibilidad. Standard agrega importantes dominios de malware y phishing al feed IPv4. Premium amplía la cobertura para incluir dominios y URL con actualizaciones cada hora. Ultimate está diseñado para infraestructura crítica y perímetros de alto riesgo con actualizaciones de 15 minutos.

Las fuentes de amenazas de Sophos Firewall filtran antes la infraestructura maliciosa conocida. Dependiendo del entorno, el plan Básico gratuito es suficiente para realizar pruebas, mientras que Estándar, Premium y Ultimate están destinados a necesidades productivas con mayor cobertura y puntualidad.

Cybora encaja especialmente cuando se necesita un feed concreto y comprable para Sophos Firewall, sin recopilar, formatear, verificar y operar varias listas OSINT por cuenta propia. El valor práctico no está en la lista más grande, sino en indicadores curados, planes de feed claros y una vía operativa compatible con la función Third-Party Threat Feed de Sophos Firewall.

Comparar fuentes de amenazas

Free / Basic

Free (Basic)

$0/al año

  • Intervalo de actualización: cada 24 h
  • IPv4: 20,000 IPv4
  • Soporte: Sin soporte
Elegir

Basic Protection

Standard

$179/al año

  • Intervalo de actualización: cada 6 h
  • IPv4: 85,000 IPv4
  • Dominios: Top 5,000 Dominios
  • Soporte: Standard
Elegir

Advanced Protection

Premium

$349/al año

  • Intervalo de actualización: cada 1 h
  • IPv4: 220,000 IPv4
  • Dominios: 45,000 Dominios
  • URLs: 25,000 URLs
  • Soporte: Prioridad
Elegir

Mission-Critical Protection

Ultimate

$1,999/al año

  • Intervalo de actualización: cada 15 min
  • IPv4: 300,000+ IPv4
  • Dominios: 100,000+ Dominios
  • URLs: 100,000 URLs
  • Soporte: Muy alto
Elegir

Al comparar, no sólo debes prestar atención al número de entradas. Una lista enorme no es automáticamente mejor si produce muchos falsos positivos o si no se mantiene correctamente. Es fundamental que el feed esté actualizado, seleccionado y fácil de usar para el firewall.

Criterios importantes:

  • Actualización de los datos
  • tipos de indicadores soportados
  • Calidad y curación de fuentes.
  • Intervalo de actualización
  • Riesgo de falso positivo
  • Trazabilidad en el visor de registros.
  • proceso de excepción sensato

Red de cortafuegos Avanet

Parte del Premium Feed son datos de una red de firewall distribuida. Esta vista es particularmente interesante para patrones de ataque que apenas se notan en un solo firewall.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Muchas herramientas detectan fácilmente ataques de fuerza bruta en direcciones IP individuales, pero fallan cuando se trata de ataques de botnets distribuidos. En tales casos, cada host controlado por el atacante realiza sólo unos pocos intentos fallidos de inicio de sesión con baja frecuencia, evitando así la detección y el bloqueo.

Algunas botnets contienen cientos de miles de hosts infectados, lo que permite a los ciberdelincuentes llevar a cabo ataques masivos de fuerza bruta sin ser bloqueados.

A partir de estos patrones se crea un Threat Intelligence Feed actualizado continuamente con IPs que han llamado la atención en varios sistemas. Al consolidar e introducir continuamente estos datos en el Threat Intelligence Feed, se identifican direcciones IP que atacan infraestructura de forma dirigida y se bloquean automáticamente.

¿Qué fuentes de amenazas no reemplazan?

Las fuentes de amenazas son poderosas, pero no sustituyen los fundamentos limpios del firewall.

No debe ser reemplazado:

  • reglas de firewall restrictivas
  • MFA para VPN, portales y acceso de administrador
  • Acceso al dispositivo y ACL de servicio local, como se describe en Protección del acceso a Sophos Firewall.
  • IPS, WAF, Protección Web e Inspección TLS
  • Gestión de parches y revisiones.
  • Registro, informes y seguimiento periódico

Por ejemplo, si un servidor web se publica a través de DNAT, la regla del firewall aún debe tener las fuentes más limitadas posibles, servicios específicos y registros activados. Una fuente de amenazas bloquea fuentes dañinas conocidas, pero aún pueden llegar atacantes nuevos o desconocidos.

Configurar la fuente de amenazas de Sophos Firewall

Integrar los Cybora Threat Feeds es sencillo y lleva pocos minutos. Todos los feeds son plenamente compatibles con la función Third-Party Threat Feed de Sophos Firewall y pueden añadirse mediante la interfaz web de la firewall así:

  1. Abrir menú: Protect > Active threat response > Third-party threat feeds > Add
  2. Ingrese datos básicos
    • Nombre: cybora-premium-ipv4
    • Descripción: Cybora Feed - Premium
  3. Establecer tipo de indicador
    • Tipo de indicador: IPv4 address, Domain o URL
    • Crear un feed separado por tipo de indicador si la misma fuente ofrece IPs, dominios y URLs.
  4. Seleccione acción
    • Para bloqueo productivo: Block.
    • Para un inicio cauteloso: elegir Monitor o una acción de observación, si está disponible y tiene sentido.
  5. URL del feed de la tienda
    • Inserte la dirección apropiada de la lista de feeds de Avanet en el campo URL externa.
  6. Establecer intervalo de sondeo
    • Elija Intervalo de sondeo: para que coincida con el feed reservado.
    • Un tiempo más corto no ayuda si el feed en sí solo se actualiza en un intervalo más largo.
  7. Configurar autenticación (si es necesario)
    • Según el feed, sin autenticación, con API key o con Basic Authentication.
    • No exponer credenciales ni feed keys en tickets, capturas de pantalla o documentación pública.
  8. Prueba la conexión y guarda
    • Ejecute Probar conexión.
    • Luego guarda con Guardar.
Añadir Sophos Firewall Threat Feeds
Añadir Sophos Firewall Threat Feeds

Después de guardar, no se debería pasar inmediatamente al siguiente tema. Primero hay que comprobar si el feed sincroniza, si el número esperado de IoCs es visible y si Log Viewer muestra hits con nombre de feed, acción, source y destination de forma comprensible.

Control durante la operación

Después de configurarlo, no debes dar por sentado que todo encajará. Es importante que los resultados sean visibles y explicables.

  1. Verifique System services > Log settings y active el registro activo de respuesta a amenazas.
  2. Filtrar por Active threat response en el Log viewer.
  3. Verifique qué feed llegó.
  4. Verifique el origen, el destino, el servicio y la regla de firewall afectada.
  5. No establezca una excepción amplia para los falsos positivos, pero verifique y documente el indicador específico.

Especialmente con DNAT, WAF y portales VPN, después de la activación suele verse muy rápido cuánto tráfico no deseado procede de fuentes maliciosas conocidas. Por eso Threat Feeds son especialmente adecuados como protección adicional para servicios expuestos.

Si un feed no muestra hits

Que no haya hits no significa automáticamente que el feed sea malo. Otro componente de Active Threat Response puede detectar antes el mismo IoC, el tráfico relevante puede no pasar por la regla firewall correcta o la firewall puede no ver suficiente contexto para dominios y URLs.

Comprobaciones útiles:

  1. Abrir Threat indicators y buscar un indicador de prueba conocido.
  2. Comprobar si el feed está activo y si el Sync status muestra Success.
  3. Con Authentication error, revisar credenciales o API key.
  4. Con Connection error, revisar DNS, acceso a internet, estado HTTP y servidor del feed.
  5. Con SSL/TLS error, revisar el certificado CA y la cadena de certificados del servidor del feed.
  6. Con Failed, revisar formato del feed, acceso al archivo en el navegador e indicadores no válidos.
  7. Revisar la regla firewall y Log Viewer para el tráfico esperado.
  8. Para feeds de dominios, revisar Application Classification o política IPS.
  9. Para feeds URL, revisar Web Proxy, DPI y la regla SSL/TLS inspection.
  10. Controlar Threat Exclusions, Web Exclusions y SSL/TLS Exclusion Lists.
  11. Si tras una fase de observación no aparecen hits relevantes, reevaluar alcance o posición del feed.

Gestionar False Positives

Los False Positives son posibles con cualquier blocklist dinámica. Lo decisivo es gestionarlos de forma limpia.

Procedimiento práctico:

  1. Abrir la entrada afectada en Log Viewer.
  2. Anotar feed name, indicator type, action, Source, Destination y Service.
  3. Comprobar si el tráfico era esperado y legítimo desde el punto de vista operativo.
  4. Revisar o reportar el indicador al proveedor del feed.
  5. Definir una excepción lo más estrecha posible.
  6. Documentar ticket, motivo y fecha de review.

No es una buena solución crear una excepción amplia para redes completas solo porque un usuario “no puede abrir una página”. En hits de URL o Domain también debe comprobarse si intervienen TLS Inspection, Web Policy, DNS Protection u otra función de seguridad.

Checklist operativa

  • Feed name, proveedor, plan y owner documentados.
  • Tipo de indicador definido claramente por feed.
  • Acción Monitor o Block elegida conscientemente.
  • Polling interval ajustado al feed.
  • Validación de certificado y autenticación probadas.
  • Estado de sincronización y Storage Quota revisados.
  • Logs de Active Threat Response visibles.
  • Proceso de False Positives con fecha de review definido.
  • Escenarios DNAT, WAF y VPN evaluados según versión SFOS.
  • Alertas o reports para hits recurrentes planificados.

Preguntas frecuentes

¿Qué licencia se necesita para Third-Party Threat Feeds?

En la práctica, para Third-Party Threat Feeds en Sophos Firewall se necesita Xstream Protection Bundle. Para este módulo específico no se requiere ninguna licencia adicional de Sophos Central.

¿Conviene dejar que Threat Feeds bloqueen directamente?

Para feeds conocidos y seleccionados, el objetivo es bloquear. En entornos sensibles, aún puede tener sentido observar primero los resultados y descartar falsos positivos.

¿Ayudan Threat Feeds también con DNAT o WAF?

Sí, especialmente desde SFOS 22 es un caso de uso importante. Los servicios publicados son encontrados rápidamente por bots y escáneres. Un feed IPv4 puede bloquear fuentes maliciosas conocidas antes de que lleguen al servicio publicado o a la aplicación WAF.

¿Por qué se necesitan feeds separados para IPs, dominios y URLs?

Sophos Firewall procesa un feed según el tipo de indicador seleccionado. Si una fuente proporciona varios tipos, debe crearlos por separado como IPv4, dominio o URL.

¿Sustituye un Threat Feed a IPS o WAF?

No. Las fuentes de amenazas bloquean los malos indicadores conocidos. Siguen siendo necesarios IPS, WAF, protección web, inspección TLS, MFA, gestión de parches y reglas limpias de firewall.

¿Qué hacer si un Threat Feed bloquea tráfico legítimo?

Primero revisar la entrada de log: feed name, indicator type, source, destination, service y action. Después evaluar el indicador desde el punto de vista operativo, reportarlo al proveedor y definir solo una excepción estrecha con motivo y fecha de review.