Aller au contenu
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall : NDR Active Threat Intelligence

Avec SFOS 22.0 MR1, Sophos a ajouté une nouvelle fonction de détection à Sophos Firewall : NDR Active Threat Intelligence. Le nom évoque un nouveau grand bloc de sécurité, mais techniquement, il faut le situer de manière un peu plus précise. Le pare-feu utilise des schémas de détection issus de Taegis NDR. Dans la Sophos Community, iSensor est mentionné comme moteur IPS provenant de l’univers Secureworks ou Taegis, dont les schémas arrivent désormais dans SFOS. L’objectif n’est pas avant tout de bloquer immédiatement et durement chaque alerte, mais de rendre visibles les activités suspectes dans le réseau et de les rendre exploitables pour des analyses XDR, MDR ou SOC.

C’est une différence importante. Beaucoup d’administrateurs pensent d’abord au blocage lorsqu’ils parlent de sécurité firewall : l’IPS bloque, Web Protection bloque, DNS Protection bloque, les Threat Feeds bloquent. NDR Active Threat Intelligence fonctionne autrement. La fonction détecte le trafic potentiellement malveillant ou suspect, écrit des événements dans les logs et transmet les données au Sophos Data Lake. Elles peuvent ensuite être analysées dans Sophos Central, dans le Threat Analysis Center, pour Sophos XDR, Sophos MDR ou par un SOC.

De mon point de vue, c’est un complément utile, mais pas un remplacement magique d’un véritable concept de Detection and Response. Si l’on active simplement la fonction sans jamais consulter les logs, les détections ou les cases, le gain restera limité. En revanche, si elle est intégrée consciemment aux règles de pare-feu, à TLS Inspection, au reporting et aux processus d’incident, on obtient des signaux supplémentaires précisément là où de nombreuses attaques deviennent visibles : dans le trafic réseau.

Ce que fait NDR Active Threat Intelligence

NDR Active Threat Intelligence utilise des schémas de détection à fort signal issus de Taegis NDR. Sophos Firewall contrôle le trafic correspondant par rapport à ces schémas, génère des événements de détection et les transmet au Data Lake. Sophos décrit la fonction comme une détection du trafic potentiellement malveillant et des attaquants actifs à l’intérieur du réseau.

Concrètement, il s’agit de situations qui ne sont pas toujours assez claires pour une prévention classique, mais qui deviennent importantes pour une investigation :

  • un outil Windows de confiance comme certutil, utilisé abusivement pour des téléchargements suspects,
  • un système compromis qui scanne des hôtes compatibles SSH, par exemple dans le contexte de NoaBot,
  • du trafic HTTP inhabituel sur un port normalement attendu pour DNS,
  • du trafic sortant qui ressemble à une exfiltration de données ou à une communication dissimulée, par exemple via l’ancien outil finger.

De tels signaux ne constituent pas toujours automatiquement une attaque confirmée. C’est précisément pour cela que l’action dans la configuration est conçue pour Log threats. Le pare-feu collecte des indices, les rend visibles et les met à disposition pour la corrélation. Si d’autres signaux s’y ajoutent, par exemple des événements endpoint, des indices d’identité ou d’autres logs firewall, ils peuvent déboucher sur une détection fiable ou un case.

Pourquoi ce n’est pas la même chose qu’ATP ou que les Threat Feeds classiques

Une question évidente se pose : est-ce simplement Advanced Threat Protection sous un nouveau nom ? Plutôt non. Dans la Sophos Community, la nouvelle option de règle de pare-feu a été décrite à juste titre comme de nouveaux schémas IPS, ou des schémas IPS améliorés, et non comme un ATP classique. La différence est importante, car elle clarifie aussi les attentes à avoir vis-à-vis de la fonction.

Advanced Threat Protection et les Sophos X-Ops Threat Feeds fonctionnent davantage sur la base de la réputation et des indicateurs. Il s’agit d’adresses IP, de domaines, d’URL ou d’indicateurs Command and Control déjà connus comme malveillants. Ces feeds sont très précieux lorsqu’une destination ou un expéditeur est déjà identifié comme dangereux. L’ancien article sur les Threat Intelligence Feeds pour le pare-feu s’inscrit aussi dans ce contexte.

NDR Active Threat Intelligence observe davantage les schémas de trafic suspects. Le trafic lui-même fournit des indices : utilisation inhabituelle de protocoles, téléchargements suspects, comportement de Lateral Movement ou communications qui ne correspondent pas à l’usage attendu. C’est plus proche de Network Detection and Response que d’une simple liste de blocage.

Une deuxième différence compte également : ATP est pensé comme une fonction système globale, tandis que NDR Active Threat Intelligence est activé en plus dans les règles de pare-feu pertinentes. On décide donc par règle ou par chemin de trafic quel trafic doit être analysé avec ces schémas.

Prérequis et plateformes prises en charge

NDR Active Threat Intelligence est une fonction pour Sophos Firewall 22.0 MR1. Dans les Release Notes, elle est indiquée pour la version 22.0 MR1 Build 490, publiée le 20 avril 2026.

Pour l’exploitation, les points suivants sont surtout importants :

  • Il faut une Sophos Firewall avec Xstream Protection Bundle.
  • Les XGS Series Firewalls sont prises en charge, y compris Gen.1 et Gen.2, ainsi que les déploiements virtuels, Software et Cloud.
  • VMware, KVM, Hyper-V, Azure, AWS, XEN et les Software Appliances sont notamment pris en charge.
  • XGS 88, XGS 88w, XGS 87 et XGS 87w ne sont pas pris en charge.
  • Une licence Sophos XDR est nécessaire pour les analyses XDR.
  • MDR Essentials ou MDR Complete est nécessaire pour les analyses MDR.
  • Pour le reporting Sophos Central, les reports et les logs doivent être envoyés à Sophos Central.
  • Le pare-feu doit être enregistré dans Sophos Central si l’on veut utiliser les vues Central.
  • Selon l’indication de Techvids, Sophos Firewall Home Edition n’est actuellement pas prise en charge.

Le point concernant XGS 87 et XGS 88 est important, mais ce n’est pas le seul contrôle opérationnel. Les plus petits modèles desktop ne sont pas pris en charge pour cette fonction, même s’ils peuvent par ailleurs utiliser les versions SFOS actuelles. Les organisations qui travaillent dans de petits sites distants ou filiales avec XGS 87, XGS 87w, XGS 88 ou XGS 88w ne devraient donc pas planifier NDR Active Threat Intelligence comme brique de protection disponible. En même temps, la licence seule ne suffit pas : le reporting Central, la connexion au Data Lake et le logging IPS doivent être correctement activés, sinon l’utilité opérationnelle reste faible.

NDR Active Threat Intelligence, NDR Essentials ou Sophos Central NDR ?

Les noms se ressemblent, mais ils ne désignent pas la même chose. NDR Essentials est la fonction de flows proche du pare-feu : Sophos Firewall collecte les flows réseau, l’analyse se fait dans le cloud Sophos et aucune VM capteur séparée n’est nécessaire. C’est utile dans les environnements où le pare-feu voit les flux pertinents et où l’on veut démarrer sans appliance supplémentaire.

NDR Active Threat Intelligence est le nouveau composant côté pare-feu. Il utilise des modèles Taegis/iSensor curatés et s’active en plus dans les règles firewall pertinentes. Il ne s’agit pas d’une appliance NDR séparée, mais de signaux de détection et de logging pour le trafic que le pare-feu traite réellement.

Sophos Central NDR est le produit NDR autonome avec une VM capteur virtuelle dédiée. Ce capteur est généralement raccordé passivement via un port SPAN, Mirror ou TAP et peut donc voir aussi le trafic est-ouest interne, les appareils unmanaged, les systèmes IoT/OT ou les assets non autorisés qui, selon l’architecture, ne passent jamais par le pare-feu. En bref : NDR Essentials et NDR Active Threat Intelligence étendent la vue du pare-feu. Sophos Central NDR fournit une vue réseau plus large via sa propre VM capteur.

Où activer la fonction

La configuration de base se fait sur Sophos Firewall sous :

Active Threat Response > NDR Essentials and Active Threat Intelligence

Le point de menu s’appelait auparavant simplement NDR Essentials. Avec SFOS 22.0 MR1, il a été étendu et renommé NDR Essentials and Active Threat Intelligence, car les deux domaines y sont désormais regroupés.

Activer Sophos Firewall NDR Essentials and Active Threat Intelligence
NDR Essentials et NDR Active Threat Intelligence se configurent sous Active Threat Response.

On y active NDR Active Threat Intelligence et l’on choisit un niveau de gravité minimal. Sophos mentionne cinq niveaux de Severity :

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

La sélection détermine quels schémas sont pris en compte. Si l’on choisit Warning, tous les schémas de Critical à Warning sont pris en compte. Si l’on choisit Critical, seuls les schémas critiques sont évalués. Cela peut sembler banal, mais c’est important en production. Un seuil trop élevé peut masquer des indicateurs précoces intéressants. Un seuil trop bas peut générer nettement plus d’événements dans des réseaux plus grands.

Ma recommandation : ne pas commencer à l’aveugle avec le réglage le plus sensible. Il vaut mieux lancer un pilote défini avec quelques règles pertinentes, un logging propre et une analyse ultérieure. On peut ensuite décider si le Severity-Level convient ou s’il faut élargir progressivement le déploiement.

La démo Sophos suivante montre de manière compacte l’activation et le déroulement du test dans l’interface graphique du pare-feu :

Les règles firewall sont décisives

Après l’activation, le pare-feu rappelle que NDR Active Threat Intelligence doit également être activé dans les règles de pare-feu appropriées. C’est l’un des points les plus importants, car sinon la fonction n’est pas appliquée au trafic souhaité.

Dans les règles, le réglage se trouve sous Rules and policies > Firewall rules. Dans la règle concernée, il faut faire défiler jusqu’à la section Other security features.

Il faut y activer Scan with NDR Active Threat Intelligence. Cette étape doit être effectuée pour chaque règle dont le trafic doit être analysé. Cela concerne typiquement les règles pour le trafic utilisateur vers Internet, le trafic serveur, le trafic DMZ ou certains chemins de communication internes.

Règle Sophos Firewall avec Scan with NDR Active Threat Intelligence
Dans les règles firewall, Scan with NDR Active Threat Intelligence doit être activé en plus.

Le guide Techvids indique en outre que Scan HTTP and decrypted HTTPS doit être activé et que les SSL/TLS Inspection Rules doivent être réglées sur Decrypt si le trafic HTTPS déchiffré doit être contrôlé. C’est logique : moins le pare-feu voit le trafic, moins il peut le détecter de manière pertinente. En même temps, TLS Inspection reste toujours un projet d’exploitation, pas un simple clic à côté.

En bref : la fonction globale NDR Active Threat Intelligence ne suffit pas à elle seule. L’option de règle, HTTPS Scanning et SSL/TLS Inspection doivent être cohérents, sinon la visibilité reste limitée.

Ne pas tout activer d’un coup

Je n’activerais pas immédiatement NDR Active Threat Intelligence sur chaque règle et chaque zone. Techniquement, cela peut fonctionner dans de nombreux environnements, mais opérationnellement, c’est rarement le meilleur point de départ. Un déploiement par étapes est plus judicieux :

  1. Vérifier les règles utilisateur vers Internet.
  2. Vérifier les règles serveur vers Internet.
  3. Vérifier la DMZ et les services publiés.
  4. Vérifier les règles de segmentation internes à haut risque.
  5. Analyser les logs et les détections après quelques jours.

On identifie ainsi rapidement si certaines applications génèrent des schémas inhabituels, si TLS Inspection fonctionne proprement et si le volume d’événements reste maîtrisable sur le plan opérationnel.

Où voir les détections

Sur le pare-feu lui-même, il existe plusieurs façons de consulter les détections. Directement dans la zone NDR Active Threat Intelligence, un widget de résumé affiche le nombre total de détections des sept derniers jours et une répartition par Severity.

Pour les détails, on peut ouvrir les NDR Active Threat Intelligence Logs. Sophos renvoie ici au type de log IPS. On peut aussi filtrer dans le Log Viewer par catégorie :

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Des analyses sont également visibles sous Reports > Network & Threat, ou dans les attaques Intrusion.

Dans Sophos Central, il existe deux perspectives importantes :

  • Firewall Management > Report Generator, avec le Report Template IPS
  • selon l’utilisation de XDR ou MDR, Threat Analysis Center > Detections et, si nécessaire, Cases

Le premier chemin est décrit dans la documentation Sophos. Le second provient surtout de la démo Techvids et est intéressant pour les environnements XDR et MDR. On y voit des données brutes comme Device Serial ID, Source IP et Destination IP, et l’on peut corréler la détection firewall avec d’autres signaux.

Que faire en cas d’alerte

Une alerte NDR Active Threat Intelligence est un signal d’investigation. Elle ne devrait pas être considérée automatiquement comme réglée simplement parce qu’une entrée de log existe quelque part. Dans un bon modèle d’exploitation, au moins les questions suivantes sont clarifiées :

  • Qui consulte régulièrement ces détections ?
  • À partir de quelle Severity un ticket ou un case est-il créé ?
  • Quels logs sont contrôlés en plus ?
  • Existe-t-il une étape de runbook pour Source IP, Destination IP et les utilisateurs concernés ?
  • Vérifie-t-on si le même hôte présente aussi des anomalies Endpoint, DNS, Web ou Identity ?
  • Existe-t-il une décision claire sur le moment où un appareil est isolé ou une règle firewall adaptée ?

Point particulièrement important : si Sophos MDR est utilisé, il faut définir clairement le rôle des analystes MDR et les actions qui doivent être décidées en interne. Si Sophos XDR est exploité sans MDR, il faut en interne une personne qui lise réellement ces détections et les évalue.

Exemples tirés de la pratique

Les exemples les plus intéressants ne sont pas les attaques bruyantes que tout IPS détecte de toute façon. Ce sont les signaux discrets :

Living-off-the-Land

Lorsqu’un outil légitime comme certutil est utilisé pour un téléchargement suspect, cela ne ressemble pas forcément à un malware au premier regard. Ces techniques de Living-off-the-Land sont justement appréciées dans de vraies attaques, car elles détournent des outils déjà présents dans le système d’exploitation et attirent donc moins l’attention.

NDR Active Threat Intelligence peut rendre ces schémas visibles. Cela ne signifie pas automatiquement que chaque alerte correspond à un hôte compromis. Cela signifie en revanche : cet hôte mérite de l’attention.

Lateral Movement

Lorsqu’un système infecté commence à scanner des hôtes SSH, cela peut indiquer un mouvement latéral. Dans sa documentation, Sophos cite notamment NoaBot comme exemple de ce schéma. Dans les environnements segmentés, un client ne devrait de toute façon pas pouvoir atteindre librement tous les serveurs ou systèmes de gestion. Si de telles tentatives deviennent visibles, ce n’est pas seulement un sujet de détection, mais aussi un indice concernant la segmentation.

Le lien avec l’article Sophos NDR - éliminer les angles morts dans le réseau est pertinent ici : le trafic réseau reste un endroit où les attaquants laissent des traces, même lorsque les signaux endpoint sont incomplets.

Utilisation inhabituelle de protocoles

HTTP via un port DNS ou des connexions sortantes censées masquer une exfiltration de données sont des exemples typiques de « techniquement possible, mais opérationnellement faux ». Sophos cite notamment du trafic via finger comme exemple d’exfiltration de données. De tels schémas sont rarement évaluables proprement au moyen d’une seule règle Allow/Deny. En tant que signal de détection, ils sont toutefois précieux.

Ce que la fonction ne remplace pas

NDR Active Threat Intelligence est un bon capteur supplémentaire, mais pas un remplacement du travail de sécurité fondamental.

La fonction ne remplace pas :

  • des règles firewall propres,
  • la segmentation contre le Lateral Movement,
  • la planification de TLS Inspection,
  • IPS, Web Protection et DNS Protection,
  • Endpoint Detection and Response,
  • Sophos MDR ou un SOC interne,
  • un SIEM avec des Use Cases clairs,
  • les processus de patch et de hotfix,
  • les revues régulières de la configuration firewall.

La fonction ne remplace pas non plus automatiquement Sophos Central NDR avec une VM capteur dédiée. Cette distinction est décrite plus haut et devrait être examinée consciemment avant une décision d’architecture.

Mon évaluation

Je trouve la fonction intéressante parce qu’elle réduit l’écart entre la protection firewall classique et les Security Operations. Le pare-feu occupe déjà une position forte dans le réseau. Si des schémas de détection NDR supplémentaires y sont exécutés et que les données deviennent visibles dans Central, XDR ou MDR, la valeur ajoutée est réelle.

Mais cette valeur ne vient pas du simple fait de l’activer. Elle vient de trois éléments :

  • des règles firewall adaptées,
  • une visibilité suffisante dans HTTP et HTTPS déchiffré,
  • un processus qui analyse les détections.

Les organisations qui utilisent déjà Sophos Central, Sophos XDR ou Sophos MDR devraient examiner NDR Active Threat Intelligence et l’activer dans le cadre d’un pilote contrôlé. Celles qui exploitent leur firewall de manière isolée et n’utilisent ni rapports Central ni processus de Security Operations devraient d’abord poser les bases. Sinon, la fonction produira au mieux des logs intéressants que personne ne consultera.

Ma recommandation est donc pragmatique : commencer avec quelques règles pertinentes, vérifier le logging IPS, tester la connexion Central, puis décider de l’ampleur du déploiement. Pour des événements de test contrôlés, je m’orienterais vers la démo Techvids. Dans la Sophos Community, il a été mentionné que des tests NDR Active Threat Intelligence dédiés pour sophostest.com doivent encore être ajoutés.

Checklist pour les administrateurs

À vérifier immédiatement

  • Le pare-feu fonctionne-t-il sous SFOS 22.0 MR1 ou une version plus récente ?
  • Le Xstream Protection Bundle est-il actif ?
  • Le pare-feu est-il enregistré dans Sophos Central ?
  • Les reports et les logs sont-ils envoyés à Sophos Central ?
  • Le logging IPS est-il activé ?
  • Existe-t-il des règles firewall pertinentes sur lesquelles tester la fonction ?

Points à respecter pendant le rollout

  • Activer NDR Active Threat Intelligence sous Active Threat Response.
  • Choisir consciemment le Severity-Level.
  • Activer Scan with NDR Active Threat Intelligence par règle firewall pertinente.
  • N’activer HTTP Scanning et HTTPS déchiffré que là où cela est proprement planifié sur le plan opérationnel.
  • Vérifier les SSL/TLS Inspection Rules et documenter les exceptions.
  • Contrôler les détections sur le pare-feu et dans Sophos Central.
  • Déclencher et documenter des événements de test de manière contrôlée.

À clarifier en production

  • Qui consulte les détections et les cases ?
  • Quelle Severity déclenche un ticket ?
  • Quels hôtes sont examinés en priorité en cas d’alerte ?
  • Quels logs sont corrélés ?
  • Quand un appareil est-il isolé ?
  • Comment les False Positives sont-ils documentés ?
  • À quelle fréquence les règles, la Severity et le volume d’événements sont-ils reviewed ?

Conclusion

Sophos Firewall NDR Active Threat Intelligence n’est pas une nouvelle étiquette marketing pour une liste de blocage existante. La fonction apporte les schémas de détection Taegis NDR directement dans Sophos Firewall et rend les activités réseau suspectes plus visibles. C’est particulièrement intéressant pour les environnements XDR, MDR et SOC, car les signaux firewall peuvent ainsi être davantage intégrés aux investigations.

La principale limite demeure toutefois la suivante : il s’agit avant tout de détection et de logging. Si l’on attend un blocage immédiat, il faut replacer la fonction dans le bon contexte. En revanche, les organisations qui prennent les Security Operations au sérieux obtiennent un signal supplémentaire qui peut être utile notamment pour Living-off-the-Land, Lateral Movement et l’utilisation inhabituelle de protocoles.

Pour les environnements de production, je commencerais donc par un court pilote, un processus clair de logging et de case, puis par un rollout planifié sur les règles réellement pertinentes. NDR Active Threat Intelligence peut alors fournir exactement ce que les firewalls modernes doivent offrir aujourd’hui : non seulement autoriser ou bloquer du trafic, mais rendre les attaques visibles plus tôt.

FAQ

Qu'est-ce que Sophos Firewall NDR Active Threat Intelligence ?

NDR Active Threat Intelligence est une fonction de détection dans Sophos Firewall 22.0 MR1. Le pare-feu utilise des schémas de détection Taegis NDR, détecte le trafic suspect, écrit des événements dans les logs et les transmet au Sophos Data Lake.

NDR Active Threat Intelligence bloque-t-il automatiquement les attaques ?

La fonction est principalement conçue pour le logging et la détection. L’action est réglée sur Log threats. Les alertes servent de signal d’investigation pour les logs firewall, Sophos Central, XDR, MDR ou les analyses SOC.

Quelle licence est nécessaire ?

NDR Active Threat Intelligence nécessite un Xstream Protection Bundle. Pour les analyses avancées dans Sophos XDR ou Sophos MDR, les licences XDR ou MDR correspondantes sont également nécessaires.

Quelles firewalls sont prises en charge ?

Les XGS Series Firewalls sont prises en charge, y compris Gen.1 et Gen.2, ainsi que les déploiements virtuels, Software et Cloud. XGS 88, XGS 88w, XGS 87 et XGS 87w ne sont pas pris en charge.

Où active-t-on la fonction ?

La fonction de base s’active sous Active Threat Response > NDR Essentials and Active Threat Intelligence. En plus, Scan with NDR Active Threat Intelligence doit être activé dans les règles firewall pertinentes.

NDR Active Threat Intelligence est-il identique à Sophos NDR ?

Non. NDR Active Threat Intelligence apporte des schémas de détection NDR à Sophos Firewall. Un capteur Sophos NDR dédié est une architecture séparée pour une visibilité réseau plus large, typiquement via SPAN/TAP et Sophos Central.

A-t-on encore besoin de Third-Party Threat Feeds avec NDR Active Threat Intelligence ?

Oui, dans de nombreux environnements, ils restent utiles. NDR Active Threat Intelligence détecte des schémas de trafic suspects et fournit des signaux de détection. Les Third-Party Threat Feeds comme Cybora fournissent en revanche des indicateurs concrets comme des IP, domaines ou URL malveillants, que le pare-feu peut bloquer activement. Les deux se complètent : NDR aide à détecter des schémas suspects, tandis que les Threat Feeds réduisent le trafic malveillant connu dès la périphérie du réseau.

Où voit-on les détections ?

Les détections sont visibles sur le pare-feu dans la zone NDR Active Threat Intelligence, dans le Log Viewer, dans Reports > Network & Threat et dans Sophos Central Firewall Reporting. Dans les environnements XDR ou MDR, elles peuvent aussi apparaître dans le Threat Analysis Center sous Detections ou Cases.

Sources

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.