Les flux de menacesSophos Firewall d’Avanet fournissent des flux de renseignements continus sur les menaces qui importent automatiquement les indicateurs de compromission (IoC) – tels que les adresses IP, les domaines ou les URL malveillants – dans votre site Sophos Firewall et les bloquent immédiatement. Les flux contiennent non seulement les données actuelles de la communauté et d’OSINT, mais aussi des informations achetées dans le commerce, les résultats de nos honeypots ainsi que des journaux d’attaques, d’erreurs et d’anomalies anonymes provenant de nombreux pare-feu Sophos que nous gérons. Ainsi, les domaines de malware, les serveurs C&C de botnet et les sites de phishing sont filtrés de manière proactive. Cela renforce la sécurité de votre infrastructure tout en réduisant sensiblement le trafic indésirable sur le pare-feu.

Que sont les flux de menaces ?

Les flux de menaces sont des listes d’indicateurs de compromissions (IoC), tels que les adresses IP, les domaines et les URL malveillants. Ces flux proviennent de sources externes, telles que des organisations de sécurité, des consortiums industriels ou des communautés open source, et permettent à votre Sophos Firewall de bloquer automatiquement le trafic provenant de menaces connues. L’intégration de ces flux dans votre pare-feu assure une défense proactive qui bloque les attaques avant qu’elles n’atteignent votre réseau. Dans Sophos Firewall v21, cette fonctionnalité a été étendue par la prise en charge des flux tiers implémentés via Active Threat Response Framework.

Les avantages sont clairs :

• Protection proactive : bloquer les menaces avant qu’elles ne causent des dommages.
• Flexibilité : utiliser des flux de différents fournisseurs, adaptés aux besoins individuels.
• Automatisation : le pare-feu bloque automatiquement ; aucune intervention manuelle n’est nécessaire.

Conditions préalables pour les flux de menaces

Pour utiliser la fonction Sophos Firewall Threat Feeds, il faut disposer de la licence Xstream Protection Licence Bundle pour Sophos Firewall. Ce bundle comprend des fonctionnalités de sécurité avancées qui permettent au pare-feu de traiter efficacement les informations sur les menaces et d’y répondre. Sans ce bundle, il n’est pas possible d’utiliser des flux tiers, car il fournit les modules nécessaires au traitement des IoC.

Du fil de la menace de base à l’ultime – by Avanet

Nous comprenons l’importance d’informations fiables et à jour sur les menaces pour la sécurité de votre réseau. C’est pourquoi nous vous proposons deux options de flux de menaces soigneusement mises à jour et optimisées pour les pare-feu Sophos.

Nos flux sont compilés à partir d’un grand nombre de sources réputées afin de garantir une détection complète et fiable des menaces. Le flux standard offre une bonne opportunité d’améliorer la sécurité. Le flux Premium se caractérise par une fréquence de mise à jour plus élevée et un plus grand nombre de sources de données. Il est particulièrement adapté aux entreprises qui ont besoin d’un niveau de sécurité élevé. Le flux Ultimate fournit en outre les données les plus récentes ainsi que toutes les données disponibles, offrant ainsi une protection maximale.

Les flux de menaces de Sophos Firewall permettent de faire passer la sécurité du réseau au niveau supérieur. Nos flux curatés éliminent la complexité de la gestion des flux. Que vous choisissiez le flux standard gratuit ou le flux premium complet, tous deux fournissent des informations fiables et régulièrement mises à jour sur les menaces et protègent le réseau.

Comparer les flux de menaces – Une sécurité adaptée à vos besoins

Réseau de pare-feu Avanet

Une partie du flux premium est constituée des données de notre réseau de pare-feu, qui est réparti dans le monde entier.

De nombreux outils détectent facilement les attaques par force brute d’adresses IP individuelles, mais échouent dans le cas d’attaques distribuées par des réseaux de zombies. Dans de tels cas, chaque hôte contrôlé par l’attaquant n’effectue que quelques tentatives de connexion infructueuses à basse fréquence et échappe ainsi à la détection et au blocage.

Certains botnets comprennent des centaines de milliers d’hôtes infectés, ce qui permet aux cybercriminels de lancer des attaques massives par force brute sans être bloqués.

Grâce à notre réseau, nous centralisons les logs, détectons les activités suspectes à un stade précoce et pouvons bloquer rapidement les adresses IP attaquantes. Cela crée un flux de renseignements sur les menaces constamment mis à jour avec des IP qui ont été remarquées sur plusieurs systèmes. La combinaison et l’alimentation continue de ces données dans notre Threat Intelligence Feed permettent d’identifier les adresses IP qui attaquent l’infrastructure de manière ciblée et de les bloquer automatiquement.

Configuration du flux des menaces Sophos Firewall ?

L’intégration de nos flux de menaces Sophos Firewall est simple et ne prend que quelques minutes. Tous les flux sont entièrement compatibles avec la fonction de flux de menaces tiers de Sophos Firewall et peuvent être ajoutés via l’interface web du pare-feu comme suit :

1. Ouvrir le menu Protect → Active threat response → Third-party threat feeds → Add
2. Saisir les données de base
   • Nom : avanet-basic-ipv4
   • Description : Avanet Feed – Version gratuite
3. Définir le type d’indicateur & les règles
   • Type d’indicateur : adresse IPv4, domaine ou URL
   • Action : Bloc
4. Déposer l’URL du flux
   • Dans le champ External URL, insérez l’adresse appropriée de la liste des flux Avanet.
5. Définir l’intervalle d’appel
   • Polling interval : 24 h (pour la version gratuite)
     • Une ligne plus courte n’aide pas, nous ne mettons à jour le flux standard que toutes les 24 heures.
6. Configurer l’authentification (facultatif)
   • Autorisation : Aucune
7. Tester et enregistrer la connexion
   • Exécuter la connexion de test → Enregistrer.

Pour des instructions de configuration étape par étape, nous vous recommandons de consulter la documentation Sophos.

---

---