Aller au contenu
Avanet

Exploiter Sophos Firewall NDR et Active Threat Response

Sophos Firewall

Sophos Firewall peut fournir des indications supplémentaires sur le trafic réseau suspect avec NDR Essentials et NDR Active Threat Intelligence. Cela est utile si l’on souhaite non seulement bloquer les attaques, mais aussi les détecter, les examiner et les traiter dans Sophos Central, XDR, MDR ou un SIEM.

Il est important de gérer les attentes : NDR sur le pare-feu n’est pas un interrupteur magique qui résout automatiquement chaque problème. La fonction nécessite des licences appropriées, un trafic visible, des types de journaux activés, des règles de pare-feu soigneusement choisies et un processus pour évaluer les résultats. Sans cette partie opérationnelle, seuls des journaux supplémentaires sont générés.

Pour les indicateurs classiques de compromission tels que les adresses IP, les domaines ou les URL malveillants, commencez par Configurer et exploiter en toute sécurité les Threat Feeds de Sophos Firewall. Cet article se concentre sur NDR Essentials, NDR Active Threat Intelligence et l’évaluation opérationnelle.

Distinguer clairement les termes

Sophos utilise plusieurs noms similaires. Pour les administrateurs, il est important de faire la distinction, car chaque fonction fonctionne différemment.

FonctionCe qui se passeUtilité typique
NDR EssentialsLe pare-feu analyse les données de flux sélectionnées et détecte les IoC tels que les adresses IP ou les domaines.Indications basées sur le réseau sans VM capteur séparée.
NDR Active Threat IntelligenceLe pare-feu utilise des modèles NDR Taegis sélectionnés, détecte le trafic suspect, enregistre les événements et les envoie au Sophos Data Lake.Détection à fort signal pour XDR, MDR ou opérations de sécurité.
Sophos Central NDRProduit NDR séparé avec sa propre VM capteur, généralement via SPAN, Mirror ou TAP.Vue plus large sur le trafic Est-Ouest, les appareils non gérés et les mouvements internes du réseau.
Threat FeedsLes listes IoC telles que les IP, les domaines ou les URL sont vérifiées par rapport au trafic.Bloquer ou surveiller les cibles ou sources malveillantes connues.

NDR Essentials et NDR Active Threat Intelligence élargissent donc la vue du pare-feu. Sophos Central NDR est une architecture distincte avec un capteur séparé. Les Threat Feeds tiers sont un autre composant : ils fonctionnent sur la base d’indicateurs et peuvent bloquer directement selon l’action.

Quand l’utilisation est-elle judicieuse ?

NDR et Active Threat Response sont particulièrement utiles lorsqu’un pare-feu n’est pas seulement utilisé comme filtre de paquets, mais fait partie d’un processus de détection et de réponse.

Scénarios typiques :

  • Le trafic Internet des clients doit être vérifié pour des cibles ou des modèles suspects.
  • Les serveurs ou systèmes DMZ doivent fournir des signaux de détection supplémentaires.
  • XDR, MDR ou SOC doivent inclure les événements du pare-feu dans les enquêtes.
  • Plusieurs pare-feux doivent être évalués de manière centralisée dans Sophos Central ou un SIEM.
  • Il existe déjà un processus pour les alertes, les tickets, les faux positifs et l’escalade.

L’utilisation est moins judicieuse si personne ne vérifie les événements, si les journaux ne sont pas transférés ou si les règles de pare-feu pertinentes ne sont pas ajustées. Dans ce cas, Rapports de pare-feu Central ou Envoyer les journaux Syslog de Sophos Firewall à un SIEM sont plus importants.

Prérequis

Avant l’activation, ces points doivent être vérifiés :

  • Le pare-feu fonctionne sur une version SFOS prise en charge.
  • Le Xstream Protection Bundle est actif.
  • Le pare-feu est enregistré dans Sophos Central si le reporting central, XDR ou MDR doivent être utilisés.
  • Envoyer les rapports et journaux à Sophos Central est actif si les détections doivent être visibles dans Sophos Central.
  • Les types de journaux pertinents sont activés sous System services > Log settings.
  • Pour NDR Active Threat Intelligence, le journal IPS est actif.
  • Pour NDR Essentials, le journal Active-Threat-Response est actif.
  • Il y a un propriétaire défini pour l’examen, l’ajustement, les exceptions et l’escalade.

Avant l’activation, les limites de la plateforme doivent être vérifiées. NDR Essentials ne prend pas en charge le déploiement HA actif-actif. NDR Active Threat Intelligence n’est pas pris en charge sur XGS 87, XGS 87w, XGS 88 et XGS 88w. Dans les environnements HA, il convient donc de vérifier d’abord Comprendre les variantes de cluster HA de Sophos Firewall.

Configurer NDR Essentials

NDR Essentials est configuré dans la section Protect > Active threat response ou Active Threat Response > NDR Essentials and Active Threat Intelligence. La désignation exacte dépend de la version SFOS.

Procédure de base :

  1. Activer NDR Essentials.
  2. Ajouter les interfaces pertinentes.
  3. Choisir l’emplacement du centre de données pour l’analyse.
  4. Définir consciemment le score de menace minimum.
  5. Vérifier l’action. NDR Essentials détecte et enregistre d’abord.
  6. Ouvrir System services > Log settings.
  7. Activer le journal pour Active threat response.
  8. Enregistrer et vérifier après quelques minutes le Log Viewer, les rapports ou Central.

Pour les interfaces, il ne faut pas tout sélectionner au hasard. Les interfaces pertinentes sont celles par lesquelles passe le trafic client, serveur ou DMZ pertinent. Les interfaces WAN ne sont pas le bon endroit pour cette évaluation NDR ; la planification doit se concentrer sur les zones LAN, DMZ et personnalisées. Les types d’interfaces non pris en charge comme les interfaces RED ou XFRM doivent également être pris en compte avant le déploiement.

Si aucune interface n’est sélectionnée, NDR Essentials ne détecte pas de nouveaux IoC à partir du trafic. Cependant, le pare-feu peut continuer à travailler avec les IoC déjà détectés. Cela peut être facilement négligé en opération.

Configurer NDR Active Threat Intelligence

NDR Active Threat Intelligence utilise des modèles de détection NDR Taegis sélectionnés. Le pare-feu détecte et enregistre les événements correspondants et les transmet au Sophos Data Lake. Ces signaux peuvent ensuite être examinés dans Sophos Central, XDR, MDR ou dans un contexte SOC.

Procédure de base :

  1. Ouvrir Active Threat Response > NDR Essentials and Active Threat Intelligence.
  2. Activer NDR Active threat intelligence.
  3. Choisir le niveau de gravité minimum.
  4. Vérifier Action. L’action est définie sur Log threats.
  5. Ouvrir System services > Log settings.
  6. Activer le journal IPS.
  7. Enregistrer.
  8. Ensuite, ouvrir les règles de pare-feu pertinentes.
  9. Sous Other security features, activer l’option Scan with NDR Active threat intelligence.
  10. Enregistrer les modifications et valider avec le trafic défini.

Le dernier point est crucial. L’activation globale seule ne suffit pas. NDR Active Threat Intelligence doit être activé dans chaque règle de pare-feu dont le trafic doit être analysé.

Quelles règles choisir en premier

Un bon déploiement ne commence pas sur toutes les règles en même temps. Il est préférable de commencer par un pilote contrôlé avec un trafic bien compris.

Points de départ judicieux :

  • Réseaux clients avec accès Internet.
  • Réseaux serveurs avec accès Internet sortant.
  • Règles DMZ avec services publiés.
  • Règles pour des segments internes particulièrement critiques.
  • Règles avec un concept IPS, Web ou TLS Inspection déjà activé.

Les règles sans journalisation claire, sans propriétaire ou avec un trafic très large non classifié ne sont pas un bon point de départ. Il convient d’abord de nettoyer la base des règles. Pour l’analyse des règles et le matching, Tester les règles de pare-feu avec Log Viewer, Policy Test et Packet Capture est approprié.

Visibilité et inspection TLS

Les signaux NDR ne sont aussi bons que la visibilité du pare-feu. Si le trafic est chiffré et que le pare-feu ne voit que l’IP de destination ou le SNI, certains modèles restent invisibles. Si l’inspection Web ou TLS est bien planifiée, le pare-feu peut examiner plus de contexte.

Cela ne signifie pas qu’il faut activer l’inspection TLS partout immédiatement. L’inspection TLS est un projet opérationnel à part entière avec des certificats, des exceptions, la protection des données, la performance et le support. Pour un déploiement planifié, Introduire correctement l’inspection TLS de Sophos Firewall est approprié.

Le protocole QUIC et HTTP/3 peuvent également influencer les concepts Web et d’inspection. Si le trafic du navigateur contourne les chemins d’inspection HTTPS classiques, il convient de vérifier Bloquer correctement le protocole QUIC et HTTP/3 de Sophos Firewall.

Journaux et évaluation

Sans évaluation des journaux, NDR est peu utile. Selon la fonction, différentes zones de journaux sont pertinentes.

ZoneOù vérifier
NDR EssentialsJournaux de réponse aux menaces actives, indicateurs de menace, reporting central ou SIEM
NDR Active Threat IntelligenceJournaux IPS, filtre Log Viewer Category is NDR Active threat intelligence, reporting de pare-feu central
Évaluation XDR/MDRSophos Central Threat Analysis Center, détections ou cas
Corrélation à long termeSyslog, SIEM, plateforme SOC ou MDR

Pour Sophos Central, le pare-feu doit envoyer les journaux et rapports à Central. La procédure est décrite dans Activer et exploiter le reporting de pare-feu Central de Sophos Firewall. Pour un SIEM propre, le type de journal approprié doit être transféré via Syslog et analysé dans le système cible. Activer la fonction ne prouve donc pas que les détections seront trouvables plus tard.

Points de vérification après l’activation :

  • Les entrées de journal locales apparaissent-elles dans le Log Viewer ?
  • Les journaux Active-Threat-Response ou IPS sont-ils envoyés à Central ?
  • Les journaux arrivent-ils dans le SIEM ?
  • Les champs comme Source, Destination, Firewall, Rule ID et catégorie sont-ils correctement reconnus ?
  • Y a-t-il un tableau de bord ou une recherche pour les résultats NDR/ATR ?
  • Est-il clair qui évalue les résultats ?

Que faire en cas de résultat

Un résultat est d’abord un signal d’enquête. Chaque résultat n’est pas automatiquement une attaque confirmée, mais chaque résultat pertinent nécessite un processus.

Processus minimal :

  1. Enregistrer l’IP source, l’IP de destination, l’utilisateur, la règle et l’heure.
  2. Vérifier dans le Log Viewer quelle règle et quel module étaient impliqués.
  3. Rechercher dans Central, XDR, MDR ou SIEM d’autres événements du même hôte.
  4. Corréler les journaux Endpoint, DNS, Web et d’authentification.
  5. Décider si une isolation, un blocage de pare-feu, une exception de Threat Feed ou une analyse supplémentaire est nécessaire.
  6. Documenter le résultat.

En cas de faux positifs répétés, il ne faut pas immédiatement définir une exception large. Il est préférable de définir une exception étroite avec une raison, un ticket et une date de révision. Les exceptions dans Active Threat Response peuvent supprimer l’effet de protection et doivent donc faire partie d’un processus contrôlé.

Erreurs typiques

  • NDR Active Threat Intelligence est activé globalement, mais pas dans les règles de pare-feu.
  • NDR Essentials est activé, mais aucune interface appropriée n’est sélectionnée.
  • Le journal IPS ou Active-Threat-Response n’est pas actif.
  • Le reporting central ou Syslog n’est pas configuré, bien qu’une évaluation centrale soit attendue.
  • Des détections sont générées, mais personne ne les vérifie.
  • La gravité ou le score de menace est défini trop sensible et génère du bruit inutile.
  • Les exceptions sont définies trop largement.
  • Active-Active HA ou les petits modèles XGS sont planifiés, bien que la fonction ne soit pas prise en charge.
  • L’inspection TLS est traitée comme un détail secondaire, au lieu d’être planifiée correctement.

Liste de contrôle

  • Version SFOS et licence vérifiées.
  • Appareil ou plateforme pris en charge confirmé.
  • Mode HA vérifié.
  • Enregistrement Sophos Central vérifié, si le reporting central, XDR ou MDR est utilisé.
  • Types de journaux pertinents activés sous System services > Log settings.
  • Interfaces NDR Essentials sélectionnées consciemment.
  • Emplacement du centre de données et score de menace minimum documentés.
  • NDR Active Threat Intelligence activé.
  • Règles de pare-feu pertinentes avec Scan with NDR Active threat intelligence appliquées.
  • Log Viewer, reporting central ou SIEM vérifiés pour les résultats.
  • Propriétaire, alerte, processus de faux positifs et intervalle de révision documentés.

Questions fréquentes

NDR Essentials est-il identique à NDR Active Threat Intelligence ?

Non. NDR Essentials analyse les flux de trafic de pare-feu sélectionnés et détecte les IoC tels que les adresses IP ou les domaines. NDR Active Threat Intelligence utilise des modèles NDR Taegis sélectionnés, enregistre les événements suspects et les envoie au Sophos Data Lake.

NDR Active Threat Intelligence bloque-t-il automatiquement ?

La fonction est principalement axée sur la détection et l’enregistrement. L’action est définie sur Log threats. Les résultats doivent être évalués dans les journaux, Central, XDR, MDR ou SIEM, puis traités opérationnellement.

Pourquoi ne voit-on pas de résultats NDR Active Threat Intelligence ?

Souvent, la fonction est activée globalement, mais pas dans les règles de pare-feu appropriées. De plus, le journal IPS doit être actif et le trafic concerné doit passer par une règle où Scan with NDR Active threat intelligence est activé.

A-t-on encore besoin de Threat Feeds tiers malgré NDR ?

Oui, dans de nombreux environnements, les fonctions se complètent. NDR fournit des signaux de détection et une reconnaissance de modèles. Les Threat Feeds tiers peuvent surveiller ou bloquer des IP, des domaines ou des URL malveillants connus à partir de listes externes.

Le NDR du pare-feu remplace-t-il un SIEM ou MDR ?

Non. Le NDR du pare-feu fournit des signaux supplémentaires. Pour la corrélation à long terme, l’alerte, le traitement des cas et la réponse aux incidents, il faut toujours le reporting central, XDR, MDR, SIEM ou un processus interne clair.