Vai al contenuto
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Con SFOS 22.0 MR1, Sophos ha portato una nuova funzione di rilevamento in Sophos Firewall: NDR Active Threat Intelligence. Il nome suona come un ulteriore grande componente di sicurezza, ma dal punto di vista tecnico va inquadrato in modo un po’ più preciso. La firewall utilizza pattern di rilevamento provenienti da Taegis NDR. Nella Sophos Community viene citato iSensor come motore IPS dal mondo Secureworks o Taegis, i cui pattern ora arrivano in SFOS. L’obiettivo principale non è bloccare subito in modo rigido ogni riscontro, ma rendere visibili le attività sospette nella rete e renderle utilizzabili per analisi XDR, MDR o SOC.

Questa è una differenza importante. Molti amministratori, quando pensano alla sicurezza della firewall, pensano prima di tutto al blocco: IPS blocca, Web Protection blocca, DNS Protection blocca, i Threat Feeds bloccano. NDR Active Threat Intelligence lavora diversamente. La funzione riconosce traffico potenzialmente dannoso o sospetto, scrive eventi nei log e inoltra i dati al Sophos Data Lake. Da lì possono essere analizzati ulteriormente in Sophos Central, nel Threat Analysis Center, per Sophos XDR, Sophos MDR o da un SOC.

A mio avviso è un’integrazione sensata, ma non un sostituto magico di un vero concetto di Detection and Response. Chi attiva semplicemente la funzione e poi non guarda mai log, detections o cases ottiene poco. Chi invece la integra consapevolmente in regole firewall, TLS Inspection, reporting e processi di incident response riceve segnali aggiuntivi proprio dove molti attacchi diventano visibili: nel traffico di rete.

Cosa fa NDR Active Threat Intelligence

NDR Active Threat Intelligence utilizza pattern di rilevamento ad alto valore segnaletico da Taegis NDR. Sophos Firewall controlla il traffico pertinente rispetto a questi pattern, genera eventi di detection e li inoltra al Data Lake. Sophos descrive la funzione come rilevamento di traffico potenzialmente dannoso e di aggressori attivi all’interno della rete.

In pratica si tratta di situazioni che per la prevenzione classica non sono sempre abbastanza univoche, ma che diventano importanti per un’indagine:

  • uno strumento Windows affidabile come certutil, abusato per download sospetti,
  • un sistema compromesso che scansiona host raggiungibili via SSH, ad esempio nel contesto di NoaBot,
  • traffico HTTP insolito su una porta su cui ci si aspetterebbe DNS,
  • traffico in uscita che sembra indicare esfiltrazione di dati o comunicazione nascosta, ad esempio tramite il vecchio tool finger.

Questi segnali non sono sempre automaticamente un attacco confermato. Proprio per questo, nella configurazione l’azione è impostata su Log threats. La firewall raccoglie indicazioni, le rende visibili e le mette a disposizione per la correlazione. Se si aggiungono altri segnali, ad esempio eventi endpoint, indicazioni di identità o ulteriori log firewall, può nascere una detection solida o un case.

Perché non è la stessa cosa di ATP o dei Threat Feeds classici

Una domanda ovvia è: si tratta semplicemente di Advanced Threat Protection con un nuovo nome? Probabilmente no. Nella Sophos Community la nuova opzione nelle regole firewall è stata descritta in modo calzante come nuovi o migliori pattern IPS, non come ATP classico. La differenza è importante, perché chiarisce anche le aspettative verso la funzione.

Advanced Threat Protection e Sophos X-Ops Threat Feeds lavorano in modo più orientato alla reputazione e agli indicatori. Si tratta di IP, domini, URL o indicatori Command-and-Control noti come dannosi. Questi feed sono molto preziosi quando una destinazione o un mittente è già noto come malevolo. A questo si collega anche l’articolo precedente sui Threat Intelligence Feeds per la firewall.

NDR Active Threat Intelligence guarda maggiormente ai pattern di traffico sospetti. È il traffico stesso a fornire indizi: uso insolito dei protocolli, download sospetti, comportamento di Lateral Movement o comunicazioni che non corrispondono all’uso atteso. Questo è più vicino al Network Detection and Response che a una semplice blocklist.

C’è anche una seconda differenza importante: ATP è pensata a livello di sistema, mentre NDR Active Threat Intelligence viene attivata in aggiunta nelle regole firewall rilevanti. Si decide quindi per ogni regola, o per ogni percorso di traffico, quale traffico deve essere analizzato con questi pattern.

Requisiti e piattaforme supportate

NDR Active Threat Intelligence è una funzione per Sophos Firewall 22.0 MR1. Nelle Release Notes viene indicata per la versione 22.0 MR1 Build 490, pubblicata il 20 aprile 2026.

Per l’esercizio sono rilevanti soprattutto questi punti:

  • Serve una Sophos Firewall con Xstream Protection Bundle.
  • Sono supportate le firewall XGS Series, incluse Gen.1 e Gen.2, oltre a deployment virtuali, software e cloud.
  • Sono supportati, tra gli altri, VMware, KVM, Hyper-V, Azure, AWS, XEN e appliance software.
  • Non sono supportate XGS 88, XGS 88w, XGS 87 e XGS 87w.
  • Per le analisi XDR è necessaria una licenza Sophos XDR.
  • Per le analisi MDR è necessaria MDR Essentials o MDR Complete.
  • Per il reporting in Sophos Central, report e log devono essere inviati a Sophos Central.
  • La firewall deve essere registrata in Sophos Central se si vogliono usare le viste Central.
  • Secondo l’indicazione di Techvids, Sophos Firewall Home Edition al momento non è supportata.

Il punto relativo a XGS 87 e XGS 88 è importante, ma non è l’unico controllo operativo. I modelli desktop più piccoli non sono supportati per questa funzione, anche se possono usare versioni SFOS attuali. Chi lavora in piccole sedi esterne o filiali con XGS 87, XGS 87w, XGS 88 o XGS 88w non dovrebbe quindi pianificare NDR Active Threat Intelligence come componente di protezione disponibile. Allo stesso tempo, la sola licenza non basta: Central Reporting, collegamento al Data Lake e IPS Logging devono essere attivati correttamente, altrimenti il beneficio operativo rimane limitato.

NDR Active Threat Intelligence, NDR Essentials o Sophos Central NDR?

I nomi sono simili, ma non indicano la stessa cosa. NDR Essentials è la funzione flow vicina alla firewall: Sophos Firewall raccoglie i flow di rete, l’analisi avviene nel cloud Sophos e non serve una VM sensore separata. È utile negli ambienti in cui la firewall vede i flussi dati rilevanti e si vuole iniziare senza un’appliance aggiuntiva.

NDR Active Threat Intelligence è il nuovo componente lato firewall. Usa pattern Taegis/iSensor curati e viene attivato in aggiunta nelle regole firewall rilevanti. Non si tratta di un’appliance NDR separata, ma di segnali di detection e logging sul traffico che la firewall elabora effettivamente.

Sophos Central NDR è invece il prodotto NDR autonomo con una VM sensore virtuale dedicata. Questo sensore viene normalmente collegato in modo passivo tramite porta SPAN, mirror o TAP e può quindi vedere anche traffico est-ovest interno, dispositivi unmanaged, sistemi IoT/OT o asset non autorizzati che, a seconda dell’architettura, non passano mai dalla firewall. In breve: NDR Essentials e NDR Active Threat Intelligence estendono la vista della firewall. Sophos Central NDR fornisce la vista di rete più ampia tramite una propria VM sensore.

Dove si attiva la funzione

La configurazione di base avviene su Sophos Firewall in:

Active Threat Response > NDR Essentials and Active Threat Intelligence

La voce di menu prima si chiamava solo NDR Essentials. Con SFOS 22.0 MR1 è stata ampliata e rinominata NDR Essentials and Active Threat Intelligence, perché ora riunisce entrambe le aree.

Attivare Sophos Firewall NDR Essentials and Active Threat Intelligence
NDR Essentials e NDR Active Threat Intelligence vengono configurati in Active Threat Response.

Qui si attiva NDR Active Threat Intelligence e si sceglie una severità minima. Sophos cita cinque livelli di severity:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

La scelta determina quali pattern vengono considerati. Se si seleziona Warning, vengono considerati tutti i pattern da Critical fino a Warning. Se si seleziona Critical, vengono valutati solo i pattern critici. Sembra banale, ma in esercizio è importante. Una soglia troppo alta può nascondere indicatori precoci interessanti. Una soglia troppo bassa può generare molti più eventi nelle reti più grandi.

La mia raccomandazione: non partire alla cieca con l’impostazione più sensibile. Meglio un pilot definito con poche regole rilevanti, logging pulito e successiva valutazione. Dopo si può decidere se il livello di severity è adatto o se conviene estendere gradualmente il rollout.

La seguente demo Sophos mostra in modo compatto l’attivazione e il flusso di test nella GUI della firewall:

Le regole firewall sono decisive

Dopo l’attivazione, la firewall ricorda che NDR Active Threat Intelligence deve essere attivata anche nelle regole firewall adatte. È uno dei punti più importanti, perché altrimenti la funzione non viene applicata al traffico desiderato.

Nelle regole, l’impostazione si trova in Rules and policies > Firewall rules. All’interno della rispettiva regola si scorre fino alla sezione Other security features.

Lì deve essere attivato Scan with NDR Active Threat Intelligence. Questo passaggio va eseguito per ogni regola il cui traffico deve essere analizzato. Tipicamente riguarda regole per il traffico Internet degli utenti, traffico server, traffico DMZ o determinati percorsi di comunicazione interni.

Regola Sophos Firewall con Scan with NDR Active Threat Intelligence
Nelle regole firewall deve essere attivato in aggiunta Scan with NDR Active Threat Intelligence.

La guida Techvids segnala inoltre che Scan HTTP and decrypted HTTPS dovrebbe essere attivo e che le SSL/TLS Inspection Rules devono essere impostate su Decrypt se si vuole controllare traffico HTTPS decrittografato. È logico: meno traffico vede la firewall, meno può riconoscere in modo utile. Allo stesso tempo, TLS Inspection è sempre un progetto operativo, non un clic da fare di passaggio.

In breve: la sola funzione globale NDR Active Threat Intelligence non basta. L’opzione nella regola, HTTPS Scanning e SSL/TLS Inspection devono essere coerenti, altrimenti la visibilità rimane limitata.

Non attivare tutto in una volta

Non attiverei NDR Active Threat Intelligence subito su ogni regola e ogni zona. Tecnicamente può funzionare in molti ambienti, ma operativamente raramente è il miglior punto di partenza. Ha più senso un rollout a tappe:

  1. Verificare le regole da utenti a Internet.
  2. Verificare le regole da server a Internet.
  3. Verificare DMZ e servizi pubblicati.
  4. Verificare regole di segmentazione interna ad alto rischio.
  5. Valutare log e detections dopo alcuni giorni.

In questo modo si riconosce presto se determinate applicazioni generano pattern anomali, se TLS Inspection funziona correttamente e se il volume degli eventi resta gestibile a livello operativo.

Dove si vedono le detections

Sulla firewall stessa ci sono diversi modi per visualizzare le detections. Direttamente nell’area NDR Active Threat Intelligence, un widget di riepilogo mostra il numero totale di rilevamenti degli ultimi sette giorni e una suddivisione per severity.

Per i dettagli si possono aprire i NDR Active Threat Intelligence Logs. Sophos rimanda in questo caso al tipo di log IPS. In alternativa, nel Log Viewer si può filtrare per categoria:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Inoltre le valutazioni sono visibili in Reports > Network & Threat oppure, nel caso di attacchi Intrusion, nei report corrispondenti.

In Sophos Central ci sono due prospettive importanti:

  • Firewall Management > Report Generator, con Report Template IPS
  • a seconda dell’uso di XDR o MDR, Threat Analysis Center > Detections e, se necessario, Cases

Il primo percorso è descritto nella documentazione Sophos. Il secondo percorso deriva soprattutto dalla demo Techvids ed è interessante per ambienti XDR e MDR. Qui si vedono dati grezzi come Device Serial ID, Source IP e Destination IP e si può correlare il rilevamento della firewall con altri segnali.

Cosa dovrebbe succedere in caso di riscontro

Un riscontro di NDR Active Threat Intelligence è un segnale di indagine. Non dovrebbe essere considerato automaticamente chiuso solo perché da qualche parte esiste una voce di log. In un buon modello operativo, almeno queste domande sono chiarite:

  • Chi controlla regolarmente queste detections?
  • Da quale severity viene creato un ticket o un case?
  • Quali log vengono controllati in aggiunta?
  • Esiste un passaggio di runbook per Source IP, Destination IP e utenti interessati?
  • Si verifica se lo stesso host mostra anomalie anche su endpoint, DNS, web o identità?
  • Esiste una decisione su quando isolare un dispositivo o modificare una regola firewall?

Particolarmente importante: se è in uso Sophos MDR, deve essere chiaro quale ruolo assumono gli analisti MDR e quali azioni devono essere decise internamente. Se Sophos XDR viene usato senza MDR, serve qualcuno interno che legga davvero queste detections e le classifichi.

Esempi dalla pratica

Gli esempi più interessanti non sono gli attacchi rumorosi, che comunque ogni IPS riconosce. Interessanti sono i segnali silenziosi:

Living-off-the-Land

Se uno strumento legittimo come certutil viene usato per un download sospetto, a prima vista non sembra necessariamente malware. Proprio queste tecniche Living-off-the-Land sono amate negli attacchi reali, perché abusano di strumenti del sistema operativo già presenti e quindi danno meno nell’occhio.

NDR Active Threat Intelligence può rendere visibili questi pattern. Questo non significa automaticamente che ogni riscontro indichi una compromissione. Significa però: questo host merita attenzione.

Lateral Movement

Se un sistema infetto inizia a scansionare host SSH, può essere un’indicazione di movimento laterale. Sophos cita nella documentazione, tra gli altri, NoaBot come esempio di questo pattern. In ambienti segmentati, un client non dovrebbe comunque poter raggiungere liberamente tutti i server o i sistemi di management. Quando tentativi del genere diventano visibili, non è solo un tema di detection, ma anche un’indicazione sulla segmentazione.

Qui si collega bene l’articolo Sophos NDR - Eliminare i punti ciechi nella rete: il traffico di rete rimane un luogo in cui gli aggressori lasciano tracce, anche quando i segnali endpoint sono incompleti.

Uso insolito dei protocolli

HTTP su una porta DNS o connessioni in uscita che dovrebbero camuffare esfiltrazione di dati sono esempi tipici di “tecnicamente possibile, ma operativamente sbagliato”. Sophos cita, per l’esfiltrazione di dati, anche traffico tramite finger come esempio. Pattern del genere raramente si valutano in modo pulito con una singola regola allow/deny. Come segnale di detection, però, sono preziosi.

Cosa non sostituisce questa funzione

NDR Active Threat Intelligence è un buon sensore aggiuntivo, ma non sostituisce il lavoro di sicurezza di base.

La funzione non sostituisce:

  • regole firewall pulite,
  • segmentazione contro Lateral Movement,
  • pianificazione di TLS Inspection,
  • IPS, Web e DNS Protection,
  • Endpoint Detection and Response,
  • Sophos MDR o un SOC proprio,
  • un SIEM con use case chiari,
  • processi di patch e hotfix,
  • revisioni regolari della configurazione firewall.

La funzione non sostituisce automaticamente nemmeno Sophos Central NDR con una VM sensore dedicata. Questa distinzione è descritta sopra e andrebbe valutata consapevolmente prima di una decisione architetturale.

La mia valutazione

Trovo interessante questa funzione perché riduce il divario tra protezione firewall classica e Security Operations. La firewall si trova comunque in una posizione forte nella rete. Se lì girano pattern di rilevamento NDR aggiuntivi e i dati diventano visibili in Central, XDR o MDR, si crea un reale valore aggiunto.

Il valore, però, non nasce dalla sola attivazione. Nasce da tre cose:

  • regole firewall adatte,
  • sufficiente visibilità in HTTP e HTTPS decrittografato,
  • un processo che valuta le detections.

Chi utilizza già Sophos Central, Sophos XDR o Sophos MDR dovrebbe verificare NDR Active Threat Intelligence e attivarla in un pilot controllato. Chi usa la firewall in modo isolato e non utilizza report Central o processi di Security Operations dovrebbe prima creare le basi. Altrimenti, nel migliore dei casi, la funzione produce log interessanti che nessuno guarda.

La mia raccomandazione è quindi pragmatica: iniziare con poche regole rilevanti, verificare l’IPS Logging, testare il collegamento a Central e poi decidere quanto estendere il rollout. Per eventi di test controllati mi orienterei alla demo Techvids. Nella Sophos Community è stato indicato che test dedicati per NDR Active Threat Intelligence su sophostest.com devono ancora essere aggiunti.

Checklist per amministratori

Da verificare subito

  • La firewall gira su SFOS 22.0 MR1 o più recente?
  • L’Xstream Protection Bundle è attivo?
  • La firewall è registrata in Sophos Central?
  • Report e log vengono inviati a Sophos Central?
  • L’IPS Logging è attivo?
  • Esistono regole firewall rilevanti su cui testare la funzione?

Durante il rollout

  • Attivare NDR Active Threat Intelligence in Active Threat Response.
  • Scegliere consapevolmente il livello di severity.
  • Attivare Scan with NDR Active Threat Intelligence per ogni regola firewall rilevante.
  • Attivare HTTP Scanning e HTTPS decrittografato solo dove è pianificato in modo pulito dal punto di vista operativo.
  • Verificare le SSL/TLS Inspection Rules e documentare le eccezioni.
  • Controllare le detections sulla firewall e in Sophos Central.
  • Generare e documentare eventi di test in modo controllato.

Da chiarire in esercizio

  • Chi guarda detections e cases?
  • Quale severity genera un ticket?
  • Quali host vengono analizzati con priorità in caso di riscontro?
  • Quali log vengono correlati?
  • Quando viene isolato un dispositivo?
  • Come vengono documentati i False Positives?
  • Con quale frequenza vengono rivisti regole, severity e volume degli eventi?

Conclusione

Sophos Firewall NDR Active Threat Intelligence non è un’ulteriore etichetta marketing per una blocklist esistente. La funzione porta i pattern di rilevamento Taegis NDR direttamente in Sophos Firewall e rende più visibili le attività di rete sospette. È particolarmente interessante per ambienti XDR, MDR e SOC, perché i segnali della firewall possono così confluire maggiormente nelle indagini.

La limitazione più importante rimane però questa: è principalmente Detection e Logging. Chi si aspetta un blocco immediato deve inquadrare correttamente la funzione. Chi invece prende sul serio le Security Operations riceve un segnale aggiuntivo che può essere utile proprio con Living-off-the-Land, Lateral Movement e uso insolito dei protocolli.

Per ambienti produttivi partirei quindi con un breve pilot, un processo chiaro di logging e case e poi con un rollout pianificato sulle regole davvero rilevanti. Così NDR Active Threat Intelligence può fare esattamente ciò che oggi devono fare le firewall moderne: non solo permettere o bloccare traffico, ma rendere gli attacchi visibili prima.

FAQ

Cos'è Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence è una funzione di rilevamento in Sophos Firewall 22.0 MR1. La firewall utilizza pattern di rilevamento Taegis NDR, riconosce traffico sospetto, scrive eventi nei log e li inoltra al Sophos Data Lake.

NDR Active Threat Intelligence blocca automaticamente gli attacchi?

La funzione è concepita principalmente per logging e detection. L’azione è impostata su Log threats. I riscontri servono come segnale di indagine per log firewall, Sophos Central, XDR, MDR o analisi SOC.

Quale licenza è necessaria?

Per NDR Active Threat Intelligence è necessario un Xstream Protection Bundle. Per analisi più approfondite in Sophos XDR o Sophos MDR sono inoltre richieste le rispettive licenze XDR o MDR.

Quali firewall sono supportate?

Sono supportate le firewall XGS Series, incluse Gen.1 e Gen.2, oltre a deployment virtuali, software e cloud. Non sono supportate XGS 88, XGS 88w, XGS 87 e XGS 87w.

Dove si attiva la funzione?

La funzione di base viene attivata in Active Threat Response > NDR Essentials and Active Threat Intelligence. Inoltre, nelle regole firewall rilevanti deve essere attivato Scan with NDR Active Threat Intelligence.

NDR Active Threat Intelligence è la stessa cosa di Sophos NDR?

No. NDR Active Threat Intelligence porta pattern di rilevamento NDR su Sophos Firewall. Un sensore Sophos NDR dedicato è un’architettura separata per una visibilità di rete più ampia, tipicamente tramite SPAN/TAP e Sophos Central.

Con NDR Active Threat Intelligence servono ancora Third-Party Threat Feeds?

Sì, in molti ambienti continuano a essere utili. NDR Active Threat Intelligence riconosce pattern di traffico sospetti e fornisce segnali di detection. Third-Party Threat Feeds come Cybora forniscono invece indicatori concreti come IP, domini o URL dannosi, che la firewall può bloccare attivamente. Le due cose si completano: NDR aiuta a riconoscere pattern sospetti, i Threat Feeds riducono già al perimetro di rete il traffico dannoso noto.

Dove si vedono le detections?

Le detections si vedono sulla firewall nell’area NDR Active Threat Intelligence, nel Log Viewer, in Reports > Network & Threat e in Sophos Central Firewall Reporting. In ambienti XDR o MDR possono inoltre comparire nel Threat Analysis Center sotto Detections o Cases.

Fonti

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.