Aller au contenu
Avanet

Sophos Firewall Threat Feeds

Sophos Firewall

Les flux de menaces Sophos Firewall de Cybora fournissent des flux de renseignements continus sur les menaces qui importent automatiquement les indicateurs de compromission (IoC) - tels que les adresses IP, les domaines ou les URL malveillants - dans votre Sophos Firewall et les bloquent immédiatement. Les flux contiennent non seulement les données actuelles de la communauté et d’OSINT, mais aussi des informations achetées dans le commerce, les résultats de nos honeypots ainsi que des journaux d’attaques, d’erreurs et d’anomalies anonymes provenant de nombreux Sophos Firewall que nous gérons. Ainsi, les domaines de malware, les serveurs C&C de botnet et les sites de phishing sont filtrés de manière proactive. Cela renforce la sécurité de votre infrastructure tout en réduisant sensiblement le trafic indésirable sur le pare-feu.

Que sont les flux de menaces ?

Les flux de menaces sont des listes d’indicateurs de compromissions (IoC), tels que les adresses IP, les domaines et les URL malveillants. Ces flux proviennent de sources externes, telles que des organisations de sécurité, des consortiums industriels ou des communautés open source, et permettent à votre Sophos Firewall de bloquer automatiquement le trafic provenant de menaces connues. L’intégration de ces flux dans votre pare-feu assure une défense proactive qui bloque les attaques avant qu’elles n’atteignent votre réseau. Dans Sophos Firewall v21, cette fonctionnalité a été étendue par la prise en charge des flux tiers implémentés via Active Threat Response Framework.

Les avantages sont clairs :

  • Protection proactive : bloquer les menaces avant qu’elles ne causent des dommages.
  • Flexibilité : utiliser des flux de différents fournisseurs, adaptés aux besoins individuels.
  • Automatisation : le pare-feu bloque automatiquement ; aucune intervention manuelle n’est nécessaire.

Conditions préalables pour les flux de menaces

Pour utiliser la fonction Sophos Firewall Threat Feeds, il faut disposer de la licence Xstream Protection Licence Bundle pour Sophos Firewall. Ce bundle comprend des fonctionnalités de sécurité avancées qui permettent au pare-feu de traiter efficacement les informations sur les menaces et d’y répondre. Sans ce bundle, il n’est pas possible d’utiliser des flux tiers, car il fournit les modules nécessaires au traitement des IoC.

Du flux de menaces gratuit au flux Ultimate - by Cybora

Nous comprenons l’importance d’informations fiables et à jour sur les menaces pour la sécurité de votre réseau. C’est pourquoi nous proposons plusieurs plans de flux de menaces soigneusement sélectionnés et optimisés pour les pare-feu Sophos. Nous y parvenons grâce à notre collaboration avec Cybora.

Les flux sont compilés à partir d’un grand nombre de sources réputées afin de garantir une détection complète et fiable des menaces. Free (Basic) convient aux utilisateurs à domicile, aux PoC et aux tests de compatibilité. Standard ajoute les principaux domaines de malware et de phishing au flux IPv4. Premium étend la couverture avec des domaines et des URLs ainsi que des mises à jour horaires. Ultimate est conçu pour les infrastructures critiques et les périmètres à haut risque avec des mises à jour toutes les 15 minutes.

Les flux de menaces de Sophos Firewall permettent de faire passer la sécurité du réseau au niveau supérieur. Nos flux curatés éliminent la complexité de la gestion des flux. Selon l’environnement, le plan Basic gratuit suffit pour les tests, tandis que Standard, Premium et Ultimate couvrent les besoins productifs avec une couverture et une fréquence de mise à jour croissantes.

Comparer les flux de menaces - Une sécurité adaptée à vos besoins

Free / Basic

Free (Basic)

$0/par an

  • Intervalle de mise à jour: toutes les 24 h
  • IPv4: 20,000 IPv4
  • Support: Aucun support
Choisir

Basic Protection

Standard

$179/par an

  • Intervalle de mise à jour: toutes les 6 h
  • IPv4: 85,000 IPv4
  • Domaines: Top 5,000 Domaines
  • Support: Standard
Choisir

Advanced Protection

Premium

$349/par an

  • Intervalle de mise à jour: toutes les 1 h
  • IPv4: 220,000 IPv4
  • Domaines: 45,000 Domaines
  • URLs: 25,000 URLs
  • Support: Priorité
Choisir

Mission-Critical Protection

Ultimate

$1,999/par an

  • Intervalle de mise à jour: toutes les 15 min
  • IPv4: 300,000+ IPv4
  • Domaines: 100,000+ Domaines
  • URLs: 100,000 URLs
  • Support: Très élevé
Choisir

Réseau de pare-feu Avanet

Une partie du flux premium est constituée des données de notre réseau de pare-feu, qui est réparti dans le monde entier.

Avanet Firewall Network - Fil de renseignements sur les menaces Premium
Avanet Firewall Network - Premium Threat Intelligence Feed

De nombreux outils détectent facilement les attaques par force brute d’adresses IP individuelles, mais échouent dans le cas d’attaques distribuées par des réseaux de zombies. Dans de tels cas, chaque hôte contrôlé par l’attaquant n’effectue que quelques tentatives de connexion infructueuses à basse fréquence et échappe ainsi à la détection et au blocage.

Certains botnets comprennent des centaines de milliers d’hôtes infectés, ce qui permet aux cybercriminels de lancer des attaques massives par force brute sans être bloqués.

Grâce à notre réseau, nous centralisons les logs, détectons les activités suspectes à un stade précoce et pouvons bloquer rapidement les adresses IP attaquantes. Cela crée un flux de renseignements sur les menaces constamment mis à jour avec des IP qui ont été remarquées sur plusieurs systèmes. La combinaison et l’alimentation continue de ces données dans notre Threat Intelligence Feed permettent d’identifier les adresses IP qui attaquent l’infrastructure de manière ciblée et de les bloquer automatiquement.

Configurer le flux de menaces sur Sophos Firewall

L’intégration de nos flux de menaces Sophos Firewall est simple et ne prend que quelques minutes. Tous les flux sont entièrement compatibles avec la fonction de flux de menaces tiers de Sophos Firewall et peuvent être ajoutés via l’interface web du pare-feu comme suit :

  1. Ouvrir le menu Protect → Active threat responseThird-party threat feedsAdd
  2. Saisir les données de base
  • Nom : cybora-premium-ipv4
  • Description : Cybora Feed - Premium
  1. Définir le type d’indicateur & les règles
  • Type d’indicateur : adresse IPv4, domaine ou URL
  • Action : Bloc
  1. Déposer l’URL du flux
  • Dans le champ External URL, insérez l’adresse appropriée de la liste des flux Avanet.
  1. Définir l’intervalle d’appel
  • Intervalle de sondage : 24 h (pour la version gratuite) / 1 h (pour la version premium) Un intervalle plus court n’apporte rien pour le plan Standard, car ce flux n’est mis à jour que toutes les 24 heures.
  1. Configurer l’authentification (facultatif)
  • Autorisation : Aucune
  1. Tester et enregistrer la connexion
  • Exécuter la connexion de testEnregistrer.
Sophos Firewall - Ajouter des flux de menaces
Sophos Firewall - Ajouter des flux de menaces

Pour des instructions de configuration étape par étape, nous vous recommandons de consulter la documentation Sophos.