Configurar y operar Threat Feeds en Sophos Firewall
Sophos Firewall Threat Feeds de Cybora proporciona fuentes continuas de inteligencia sobre amenazas que importan automáticamente indicadores de compromiso (IoC) a Sophos Firewall. Estos IoC son, por ejemplo, direcciones IP maliciosas, dominios de malware, URL de phishing o servidores C&C de botnets conocidos.
Para el contexto general de hardening, sirve el hub Sophos Firewall Hardening: buenas prácticas para una configuración segura.
Esto elimina gran parte del esfuerzo de mantenimiento manual. En lugar de rastrear manualmente direcciones IP o dominios de atacantes individuales en objetos de host, reglas de firewall o listas de bloqueo, el firewall extrae automáticamente los datos de una fuente seleccionada y puede bloquear el tráfico apropiado.
Esto es especialmente útil cuando el cortafuegos es visible desde el exterior. Los bots, los escáneres y los marcos de explotación automatizados suelen encontrar muy rápidamente las IP públicas, las reglas DNAT, las publicaciones WAF, los portales VPN o los accesos WebAdmin. Una buena fuente de amenazas reduce este tráfico no deseado antes de que penetre más profundamente en el entorno.
En resumen: Threat Feeds son potentes cuando se entienden como un proceso operativo. Elegir el feed, definir correctamente el tipo de indicador, probar primero de forma visible, bloquear después, revisar los hits periódicamente y gestionar False Positives de forma limpia. Añadir simplemente una lista enorme no es una buena estrategia de seguridad.
Contexto
Qué son los Threat Feeds
Las fuentes de amenazas son listas de indicadores de compromiso. En la práctica, estos son indicios de una infraestructura maliciosa conocida:
- Direcciones IP: Escáneres, botnets, sistemas comprometidos o servidores de comando y control.
- Dominios: Malware, phishing o dominios C2.
- URL: rutas maliciosas específicas o enlaces de descarga.
Dependiendo del proveedor, estos feeds provienen de organizaciones de seguridad, consorcios industriales, comunidades de código abierto, inteligencia comercial sobre amenazas, honeypots o sus propios sensores. En Sophos Firewall v21, la función se ha ampliado para incluir fuentes de terceros integradas a través de Active Threat Response Framework.
Las ventajas son claras:
- Protección proactiva: Bloquea las amenazas antes de que se produzcan daños.
- Flexibilidad: Utilice feeds de diferentes proveedores, adaptados a los requisitos individuales.
- Automatización: El firewall se bloquea automáticamente; La intervención manual ya no es necesaria.
- Alivio: El tráfico no deseado se descarta antes y ni siquiera llega a los servicios internos.
No mezclar los módulos de Threat Feed
Bajo Active threat response hay varias funciones una junto a otra. Los nombres suenan parecidos, pero resuelven tareas distintas.
- Sophos X-Ops Threat Feeds: Indicadores propios de Sophos para amenazas conocidas. En operación, activar la función de Network Protection y revisar logs.
- MDR Threat Feeds: Inteligencia de amenazas del contexto Sophos MDR/XDR. En operación, conectar proceso MDR/Central y firewall logging.
- Third-Party Threat Feeds: Listas IoC externas como Cybora como feed de IP, Domain o URL. En operación, responsabilizarse de calidad del feed, acción, sincronización y excepciones.
- NDR Essentials / NDR Active Threat Intelligence: Detección de patrones de tráfico sospechosos en lugar de una simple lista IoC. En operación, evaluar señales de detección y no confundirlas con una blocklist.
Este artículo trata sobre todo Third-Party Threat Feeds. Para NDR y Active Threat Intelligence encaja Operar Sophos Firewall NDR y Active Threat Response.
Áreas de aplicación típicas
Los feeds de amenazas no sólo son interesantes para el tráfico saliente de clientes. En la práctica, se puede observar el acceso automatizado muy rápidamente, especialmente en los servicios de acceso público.
- DNAT en servidores internos: Los port forwardings se escanean rápidamente. Un feed IPv4 puede bloquear fuentes maliciosas conocidas antes de que lleguen al servidor interno.
- Publicaciones WAF: Los servidores web suelen ver bot traffic, CVE scans, CMS probes y Credential-Stuffing. Threat Feeds complementan las reglas WAF con reputación.
- VPN Portal, User Portal y WebAdmin: Los portales deben protegerse primero mediante Device Access, MFA y redes de origen. Threat Feeds reducen además fuentes de ataque conocidas.
- Tráfico saliente de clientes: Los feeds de Domain y URL pueden bloquear destinos conocidos de malware, phishing o C2.
- Direcciones WAN muy escaneadas: Si una IP pública ve constantemente bot traffic, un buen feed IPv4 puede aliviar de forma notable la firewall y los logs.
Desde SFOS 22, Threat Feeds son especialmente interesantes para tráfico entrante y reenviado como DNAT y WAF. La firewall puede detectar así fuentes maliciosas conocidas también delante de servicios publicados. En instalaciones antiguas o estados mixtos, este punto debe revisarse conscientemente antes de asumir el mismo nivel de protección.
Pero los feeds de amenazas no reemplazan la publicación limpia. Si se puede acceder a un servicio a través de DNAT o WAF, solo se deben abrir los puertos necesarios, restringir las redes o países de origen, activar las reglas IPS/WAF y verificar los registros. Las fuentes de amenazas son un componente de protección adicional, no un pase libre para las reglas generales de Any.
Requisitos y licencia
Para utilizar Third-Party Threat Feeds en Sophos Firewall se necesita el Xstream Protection Bundle. Para este módulo no se necesitan licencias adicionales de Sophos Central. Otros módulos Threat Feed tienen requisitos propios: Sophos X-Ops Threat Feeds requiere Network Protection, MDR Threat Feeds requiere además Sophos MDR Essentials o MDR Complete en Sophos Central, y NDR Essentials requiere Xstream Appliance Bundle.
Además, debes comprobar antes del lanzamiento:
- El firewall se ejecuta en una versión SFOS con soporte para fuentes de amenazas de terceros.
- El firewall puede acceder a la URL del feed a través de DNS y HTTPS.
- Se utiliza un tipo de indicador claro por feed, por ejemplo
IPv4 address,DomainoURL. - El feed es un archivo de texto plano con un indicador por línea.
- Rangos IP, direcciones IPv6, direcciones de red, dominios wildcard y expresiones regulares no son el formato adecuado para Third-Party Threat Feeds.
- El registro de respuesta activa a amenazas está habilitado.
- Queda claro si al principio sólo se observa el feed o si se bloquea directamente.
Recomendación práctica: introducir primero los nuevos feeds de forma controlada. Si la firewall lo permite, comenzar con una fase de observación, revisar los hits en Log Viewer y después pasar al bloqueo. Así se detecta pronto si sistemas legítimos podrían verse afectados.
URL-Feeds y TLS Inspection
Las fuentes de IP y dominios son en su mayoría fáciles de entender. Los feeds de URL son un poco más exigentes porque el firewall necesita ver la ruta de URL relevante. Con el tráfico HTTPS, esto no siempre es posible sin un descifrado adecuado.
Si se van a utilizar las fuentes de URL de forma productiva, debe comprobar si el proxy web, el motor DPI y la inspección TLS se adaptan al entorno. Sin una visión clara del tráfico HTTPS, un feed de URL puede ser menos efectivo de lo esperado.
Planificación antes del rollout
¿Monitor o Block?
Un Threat Feed puede monitorizar o bloquear según la versión SFOS y la configuración. Para seguridad productiva, bloquear suele ser el objetivo, pero no todos los feeds deben ir ciegamente al modo Block desde el principio.
- Monitor: Hacer visibles los hits sin bloquear tráfico directamente. Revisar volumen de logs, fuentes/destinos afectados y hits inesperados.
- Block: Detener activamente indicadores maliciosos conocidos. Preparar proceso de False Positives, alertas y excepciones.
- Review: Comprobar eficacia y efectos secundarios. Evaluar calidad del feed, hits antiguos, casos de soporte y riesgo de negocio.
En servicios muy expuestos, un feed IPv4 bien curado puede reducir directamente mucho ruido. Con feeds de Domain o URL conviene ser más prudente, porque servicios legítimos pueden usar con más frecuencia infraestructura compartida, CDNs o redirecciones.
Orden y posición de los feeds
Al añadir un Third-Party Feed se puede definir la posición del feed. Parece banal, pero ayuda en operación: los feeds críticos y bien curados deben tener nombres claros y estar ordenados. Feeds de prueba, temporales o fuentes con mayor riesgo de False Positives no deberían quedar ocultos entre feeds productivos.
Convención práctica de nombres:
- Feed IPv4 productivo en modo Block:
cybora-premium-ipv4-block - Domain-Feed en modo Monitor:
cybora-standard-domain-monitor - Feed temporal de incidente:
incident-2026-06-c2-ipv4
Un buen nombre muestra proveedor, plan o propósito, tipo de indicador y acción. Esto ahorra tiempo en Log Viewer y en reviews posteriores.
Sincronización y Storage Quota
Sophos Firewall muestra en Third-Party Threat Feeds los feeds activos, el número total de Threat Indicators, Storage Quota y estado de sincronización. Estos valores no deben ignorarse después de la configuración.
Controles importantes:
- Sync status:
Success,FetchingoDisabledse clasifican rápidamente. ConAuthentication error,Connection error,Storage full,SSL/TLS erroroFailed, revisar de forma específica la causa y el feed. - Last updated: La marca temporal encaja con el intervalo de polling esperado.
- Storage quota: La firewall todavía tiene suficiente espacio para los IoCs cargados.
- Threat indicators: El número encaja aproximadamente con lo esperado del proveedor.
- Synchronize now: La sincronización manual funciona cuando un cambio no debe esperar al siguiente intervalo de polling.
Si la Storage Quota está llena, no significa automáticamente que el proveedor del feed tenga la culpa. Las appliances pequeñas tienen menos margen que los modelos grandes. La firewall sigue obteniendo IoCs en el intervalo configurado y actualiza la lista cuando vuelve a haber espacio. Aun así conviene revisar alcance del feed, tipos de indicadores y prioridad, en lugar de añadir cada vez más listas.
En modelos XGS pequeños, el intervalo de polling también puede estar limitado. Según Sophos, XGS 87/87w, 88/88w y 107/107w solo admiten 24h, 7d y 30d como opciones de Polling interval para Third-Party Threat Feeds. Si un feed contratado se actualiza con mayor frecuencia, esta diferencia de plataforma debe tenerse en cuenta en las expectativas de actualidad y efecto de bloqueo.
En modelos XGS pequeños, el intervalo de polling también puede estar limitado. Según Sophos, XGS 87/87w, 88/88w y 107/107w solo admiten 24h, 7d y 30d como opciones de Polling interval para Third-Party Threat Feeds. Si un feed contratado se actualiza con mayor frecuencia, esta diferencia de plataforma debe tenerse en cuenta en las expectativas de actualidad y efecto de bloqueo.
De la fuente de amenazas gratuita a la definitiva: por Cybora
La inteligencia de amenazas fiable y actualizada es decisiva. Por eso Avanet utiliza planes de Threat Feed curados de Cybora, diseñados específicamente para su uso en Sophos Firewalls.
Los feeds se compilan a partir de varias fuentes para lograr una detección de amenazas lo más amplia y fiable posible. Incluyen datos de comunidad y OSINT, información comercial adquirida, resultados de honeypots y logs anonimizados de ataques, errores y anomalías procedentes de entornos Sophos Firewall operados en la práctica.
Gratis (Básico) es adecuado para usuarios domésticos, PoC y pruebas de compatibilidad. Standard agrega importantes dominios de malware y phishing al feed IPv4. Premium amplía la cobertura para incluir dominios y URL con actualizaciones cada hora. Ultimate está diseñado para infraestructura crítica y perímetros de alto riesgo con actualizaciones de 15 minutos.
Las fuentes de amenazas de Sophos Firewall filtran antes la infraestructura maliciosa conocida. Dependiendo del entorno, el plan Básico gratuito es suficiente para realizar pruebas, mientras que Estándar, Premium y Ultimate están destinados a necesidades productivas con mayor cobertura y puntualidad.
Cybora encaja especialmente cuando se necesita un feed concreto y comprable para Sophos Firewall, sin recopilar, formatear, verificar y operar varias listas OSINT por cuenta propia. El valor práctico no está en la lista más grande, sino en indicadores curados, planes de feed claros y una vía operativa compatible con la función Third-Party Threat Feed de Sophos Firewall.
Comparar fuentes de amenazas
Free / Basic
Free (Basic)
$0/al año
- Intervalo de actualización: cada 24 h
- IPv4: 20,000 IPv4
- Soporte: Sin soporte
Basic Protection
Standard
$179/al año
- Intervalo de actualización: cada 6 h
- IPv4: 85,000 IPv4
- Dominios: Top 5,000 Dominios
- Soporte: Standard
Advanced Protection
Premium
$349/al año
- Intervalo de actualización: cada 1 h
- IPv4: 220,000 IPv4
- Dominios: 45,000 Dominios
- URLs: 25,000 URLs
- Soporte: Prioridad
Mission-Critical Protection
Ultimate
$1,999/al año
- Intervalo de actualización: cada 15 min
- IPv4: 300,000+ IPv4
- Dominios: 100,000+ Dominios
- URLs: 100,000 URLs
- Soporte: Muy alto
Al comparar, no sólo debes prestar atención al número de entradas. Una lista enorme no es automáticamente mejor si produce muchos falsos positivos o si no se mantiene correctamente. Es fundamental que el feed esté actualizado, seleccionado y fácil de usar para el firewall.
Criterios importantes:
- Actualización de los datos
- tipos de indicadores soportados
- Calidad y curación de fuentes.
- Intervalo de actualización
- Riesgo de falso positivo
- Trazabilidad en el visor de registros.
- proceso de excepción sensato
Red de cortafuegos Avanet
Parte del Premium Feed son datos de una red de firewall distribuida. Esta vista es particularmente interesante para patrones de ataque que apenas se notan en un solo firewall.

Muchas herramientas detectan fácilmente ataques de fuerza bruta en direcciones IP individuales, pero fallan cuando se trata de ataques de botnets distribuidos. En tales casos, cada host controlado por el atacante realiza sólo unos pocos intentos fallidos de inicio de sesión con baja frecuencia, evitando así la detección y el bloqueo.
Algunas botnets contienen cientos de miles de hosts infectados, lo que permite a los ciberdelincuentes llevar a cabo ataques masivos de fuerza bruta sin ser bloqueados.
A partir de estos patrones se crea un Threat Intelligence Feed actualizado continuamente con IPs que han llamado la atención en varios sistemas. Al consolidar e introducir continuamente estos datos en el Threat Intelligence Feed, se identifican direcciones IP que atacan infraestructura de forma dirigida y se bloquean automáticamente.
¿Qué fuentes de amenazas no reemplazan?
Las fuentes de amenazas son poderosas, pero no sustituyen los fundamentos limpios del firewall.
No debe ser reemplazado:
- reglas de firewall restrictivas
- MFA para VPN, portales y acceso de administrador
- Acceso al dispositivo y ACL de servicio local, como se describe en Protección del acceso a Sophos Firewall.
- IPS, WAF, Protección Web e Inspección TLS
- Gestión de parches y revisiones.
- Registro, informes y seguimiento periódico
Por ejemplo, si un servidor web se publica a través de DNAT, la regla del firewall aún debe tener las fuentes más limitadas posibles, servicios específicos y registros activados. Una fuente de amenazas bloquea fuentes dañinas conocidas, pero aún pueden llegar atacantes nuevos o desconocidos.
Configurar la fuente de amenazas de Sophos Firewall
Integrar los Cybora Threat Feeds es sencillo y lleva pocos minutos. Todos los feeds son plenamente compatibles con la función Third-Party Threat Feed de Sophos Firewall y pueden añadirse mediante la interfaz web de la firewall así:
- Abrir menú:
Protect > Active threat response > Third-party threat feeds > Add - Ingrese datos básicos
- Nombre:
cybora-premium-ipv4 - Descripción:
Cybora Feed - Premium
- Nombre:
- Establecer tipo de indicador
- Tipo de indicador:
IPv4 address,DomainoURL - Crear un feed separado por tipo de indicador si la misma fuente ofrece IPs, dominios y URLs.
- Tipo de indicador:
- Seleccione acción
- Para bloqueo productivo:
Block. - Para un inicio cauteloso: elegir
Monitoro una acción de observación, si está disponible y tiene sentido.
- Para bloqueo productivo:
- URL del feed de la tienda
- Inserte la dirección apropiada de la lista de feeds de Avanet en el campo URL externa.
- Establecer intervalo de sondeo
- Elija Intervalo de sondeo: para que coincida con el feed reservado.
- Un tiempo más corto no ayuda si el feed en sí solo se actualiza en un intervalo más largo.
- Configurar autenticación (si es necesario)
- Según el feed, sin autenticación, con API key o con Basic Authentication.
- No exponer credenciales ni feed keys en tickets, capturas de pantalla o documentación pública.
- Prueba la conexión y guarda
- Ejecute Probar conexión.
- Luego guarda con Guardar.

Después de guardar, no se debería pasar inmediatamente al siguiente tema. Primero hay que comprobar si el feed sincroniza, si el número esperado de IoCs es visible y si Log Viewer muestra hits con nombre de feed, acción, source y destination de forma comprensible.
Control durante la operación
Después de configurarlo, no debes dar por sentado que todo encajará. Es importante que los resultados sean visibles y explicables.
- Verifique
System services > Log settingsy active el registro activo de respuesta a amenazas. - Filtrar por
Active threat responseen elLog viewer. - Verifique qué feed llegó.
- Verifique el origen, el destino, el servicio y la regla de firewall afectada.
- No establezca una excepción amplia para los falsos positivos, pero verifique y documente el indicador específico.
Especialmente con DNAT, WAF y portales VPN, después de la activación suele verse muy rápido cuánto tráfico no deseado procede de fuentes maliciosas conocidas. Por eso Threat Feeds son especialmente adecuados como protección adicional para servicios expuestos.
Si un feed no muestra hits
Que no haya hits no significa automáticamente que el feed sea malo. Otro componente de Active Threat Response puede detectar antes el mismo IoC, el tráfico relevante puede no pasar por la regla firewall correcta o la firewall puede no ver suficiente contexto para dominios y URLs.
Comprobaciones útiles:
- Abrir Threat indicators y buscar un indicador de prueba conocido.
- Comprobar si el feed está activo y si el Sync status muestra
Success. - Con
Authentication error, revisar credenciales o API key. - Con
Connection error, revisar DNS, acceso a internet, estado HTTP y servidor del feed. - Con
SSL/TLS error, revisar el certificado CA y la cadena de certificados del servidor del feed. - Con
Failed, revisar formato del feed, acceso al archivo en el navegador e indicadores no válidos. - Revisar la regla firewall y Log Viewer para el tráfico esperado.
- Para feeds de dominios, revisar Application Classification o política IPS.
- Para feeds URL, revisar Web Proxy, DPI y la regla SSL/TLS inspection.
- Controlar Threat Exclusions, Web Exclusions y SSL/TLS Exclusion Lists.
- Si tras una fase de observación no aparecen hits relevantes, reevaluar alcance o posición del feed.
Gestionar False Positives
Los False Positives son posibles con cualquier blocklist dinámica. Lo decisivo es gestionarlos de forma limpia.
Procedimiento práctico:
- Abrir la entrada afectada en Log Viewer.
- Anotar feed name, indicator type, action, Source, Destination y Service.
- Comprobar si el tráfico era esperado y legítimo desde el punto de vista operativo.
- Revisar o reportar el indicador al proveedor del feed.
- Definir una excepción lo más estrecha posible.
- Documentar ticket, motivo y fecha de review.
No es una buena solución crear una excepción amplia para redes completas solo porque un usuario “no puede abrir una página”. En hits de URL o Domain también debe comprobarse si intervienen TLS Inspection, Web Policy, DNS Protection u otra función de seguridad.
Checklist operativa
- Feed name, proveedor, plan y owner documentados.
- Tipo de indicador definido claramente por feed.
- Acción
MonitoroBlockelegida conscientemente. - Polling interval ajustado al feed.
- Validación de certificado y autenticación probadas.
- Estado de sincronización y Storage Quota revisados.
- Logs de Active Threat Response visibles.
- Proceso de False Positives con fecha de review definido.
- Escenarios DNAT, WAF y VPN evaluados según versión SFOS.
- Alertas o reports para hits recurrentes planificados.