Vai al contenuto
Avanet

Gestire Sophos Firewall NDR e Active Threat Response

Sophos Firewall

Sophos Firewall può fornire ulteriori indicazioni sul traffico di rete sospetto con NDR Essentials e NDR Active Threat Intelligence. Questo è utile quando si desidera non solo bloccare gli attacchi, ma anche rilevarli, indagarli e elaborarli ulteriormente in Sophos Central, XDR, MDR o un SIEM.

È importante avere aspettative realistiche: NDR sul firewall non è un interruttore magico che risolve automaticamente ogni problema. La funzione richiede licenze appropriate, traffico visibile, tipi di log attivati, regole firewall selezionate consapevolmente e un processo per valutare i rilevamenti. Senza questa parte operativa, si generano solo log aggiuntivi.

Per indicatori classici di compromissione come indirizzi IP, domini o URL dannosi, è meglio iniziare con Configurare e gestire in sicurezza i Sophos Firewall Threat Feeds. Questo articolo si concentra su NDR Essentials, NDR Active Threat Intelligence e la valutazione operativa.

Separare chiaramente i termini

Sophos utilizza diversi nomi simili. Per gli amministratori è importante distinguere, poiché ogni funzione opera in modo diverso.

FunzioneCosa succedeUtilità tipica
NDR EssentialsIl firewall analizza i dati di flusso selezionati e rileva IoC come indirizzi IP o domini.Indicazioni basate sulla rete senza sensore VM separato.
NDR Active Threat IntelligenceIl firewall utilizza modelli NDR curati da Taegis, rileva traffico sospetto, registra eventi e li invia al Sophos Data Lake.Rilevamento ad alto segnale per XDR, MDR o operazioni di sicurezza.
Sophos Central NDRProdotto NDR separato con sensore VM proprio, tipicamente tramite SPAN, Mirror o TAP.Visione più ampia del traffico est-ovest, dispositivi non gestiti e movimenti di rete interni.
Threat FeedsListe IoC come IP, domini o URL vengono confrontate con il traffico.Bloccare o monitorare obiettivi o fonti dannose conosciute.

NDR Essentials e NDR Active Threat Intelligence ampliano quindi la visione del firewall. Sophos Central NDR è un’architettura propria con sensore separato. I Threat Feeds di terze parti sono un altro componente: lavorano basandosi su indicatori e possono bloccare direttamente a seconda dell’azione.

Quando è utile l’uso

NDR e Active Threat Response sono particolarmente utili quando un firewall non è utilizzato solo come filtro di pacchetti, ma è parte di un processo di rilevamento e risposta.

Scenari tipici:

  • Il traffico Internet dei client deve essere controllato per obiettivi o modelli sospetti.
  • I server o i sistemi DMZ devono fornire segnali di rilevamento aggiuntivi.
  • XDR, MDR o SOC devono includere eventi del firewall nelle indagini.
  • Più firewall devono essere valutati centralmente in Sophos Central o un SIEM.
  • Esiste già un processo per allarmi, ticket, falsi positivi ed escalation.

L’uso è meno utile se nessuno controlla gli eventi, i log non vengono inoltrati o le regole firewall rilevanti non vengono adattate. In tal caso, è più importante Central Firewall Reporting o Inviare il Syslog di Sophos Firewall a SIEM.

Prerequisiti

Prima dell’attivazione, dovrebbero essere verificati questi punti:

  • Il firewall funziona su una versione SFOS supportata.
  • Il Xstream Protection Bundle è attivo.
  • Il firewall è registrato in Sophos Central, se si desidera utilizzare Central Reporting, XDR o MDR.
  • Invia report e log a Sophos Central è attivo, se si desidera che i rilevamenti siano visibili in Sophos Central.
  • I tipi di log rilevanti sono attivati in System services > Log settings.
  • Per NDR Active Threat Intelligence è attivo il logging IPS.
  • Per NDR Essentials è attivo il logging Active-Threat-Response.
  • Esiste un proprietario definito per la verifica, la messa a punto, le eccezioni e l’escalation.

Prima dell’attivazione, devono essere verificate le limitazioni della piattaforma. NDR Essentials non supporta la distribuzione HA Active-Active. NDR Active Threat Intelligence non è supportato su XGS 87, XGS 87w, XGS 88 e XGS 88w. In ambienti HA, è quindi consigliabile prima Comprendere le varianti del cluster HA di Sophos Firewall.

Configurare NDR Essentials

NDR Essentials viene configurato nell’area Protect > Active threat response o Active Threat Response > NDR Essentials and Active Threat Intelligence. La denominazione esatta dipende dalla versione SFOS.

Procedura di base:

  1. Attivare NDR Essentials.
  2. Aggiungere le interfacce rilevanti.
  3. Scegliere la posizione del data center per l’analisi.
  4. Impostare consapevolmente il punteggio minimo di minaccia.
  5. Verificare l’azione. NDR Essentials rileva e registra inizialmente.
  6. Aprire System services > Log settings.
  7. Attivare il logging per Active threat response.
  8. Salvare e dopo alcuni minuti controllare Log Viewer, Reports o Central.

Per le interfacce, non si dovrebbe selezionare tutto indiscriminatamente. Sono sensate le interfacce attraverso le quali passa il traffico rilevante di client, server o DMZ. Le interfacce WAN non sono il luogo giusto per questa valutazione NDR; la pianificazione dovrebbe concentrarsi su zone LAN, DMZ e personalizzate. Anche i tipi di interfaccia non supportati come le interfacce RED o XFRM dovrebbero essere considerati prima del rollout.

Se non vengono selezionate interfacce, NDR Essentials non rileva nuovi IoC dal traffico. Tuttavia, il firewall può continuare a lavorare con IoC già riconosciuti. Questo è facile da trascurare durante l’operatività.

Configurare NDR Active Threat Intelligence

NDR Active Threat Intelligence utilizza modelli di rilevamento NDR curati da Taegis. Il firewall rileva e registra eventi pertinenti e li inoltra al Sophos Data Lake. Questi segnali possono quindi essere esaminati in Sophos Central, XDR, MDR o in un contesto SOC.

Procedura di base:

  1. Aprire Active Threat Response > NDR Essentials and Active Threat Intelligence.
  2. Attivare NDR Active threat intelligence.
  3. Scegliere il livello minimo di gravità.
  4. Verificare Action. L’azione è impostata su Log threats.
  5. Aprire System services > Log settings.
  6. Attivare il logging IPS.
  7. Salvare.
  8. Successivamente, aprire le regole firewall rilevanti.
  9. Sotto Other security features attivare l’opzione Scan with NDR Active threat intelligence.
  10. Salvare le modifiche e validare con il traffico definito.

L’ultimo punto è cruciale. L’attivazione globale da sola non è sufficiente. NDR Active Threat Intelligence deve essere attivato in ogni regola firewall il cui traffico deve essere analizzato.

Quali regole selezionare per prime

Un buon rollout non inizia su tutte le regole contemporaneamente. È meglio un pilota controllato con traffico ben comprensibile.

Punti di partenza sensati:

  • Reti client con accesso a Internet.
  • Reti server con accesso a Internet in uscita.
  • Regole DMZ con servizi pubblicati.
  • Regole per segmenti interni particolarmente critici.
  • Regole con concetti IPS, Web o TLS Inspection già attivati.

Regole senza log chiari, senza proprietario o con traffico molto ampio e non classificato non sono un buon inizio. In tal caso, è meglio prima pulire la base delle regole. Per l’analisi delle regole e il matching, è adatto Testare le regole firewall con Log Viewer, Policy Test e Packet Capture.

Visibilità e TLS Inspection

I segnali NDR sono validi solo quanto la visibilità del firewall. Se il traffico è crittografato e il firewall vede solo l’IP di destinazione o SNI, alcuni modelli rimangono invisibili. Se Web o TLS Inspection sono pianificati correttamente, il firewall può esaminare più contesto.

Questo non significa che si debba attivare TLS Inspection ovunque immediatamente. TLS Inspection è un progetto operativo a sé stante con certificati, eccezioni, privacy, prestazioni e impegno di supporto. Per un rollout pianificato, è adatto Introdurre correttamente Sophos Firewall TLS Inspection.

Anche QUIC e HTTP/3 possono influenzare i concetti di Web e Inspection. Se il traffico del browser passa oltre i percorsi classici di ispezione HTTPS, dovrebbe essere verificato Bloccare correttamente il protocollo QUIC e HTTP/3 su Sophos Firewall.

Log e valutazione

Senza valutazione dei log, NDR è poco utile. A seconda della funzione, sono rilevanti diverse aree di log.

AreaDove controllare
NDR EssentialsLog di Active threat response, Indicatori di minaccia, Central Reporting o SIEM
NDR Active Threat IntelligenceLog IPS, Filtro Log Viewer Category is NDR Active threat intelligence, Central Firewall Reporting
Valutazione XDR/MDRSophos Central Threat Analysis Center, Rilevamenti o Casi
Correlazione a lungo termineSyslog, SIEM, piattaforma SOC o MDR

Per Sophos Central, il firewall deve inviare log e report a Central. La procedura è descritta in Attivare e gestire Sophos Firewall Central Reporting. Per un SIEM proprio, il tipo di log appropriato deve essere inoltrato tramite Syslog e analizzato nel sistema di destinazione. Solo l’attivazione della funzione non dimostra quindi che i rilevamenti siano successivamente rintracciabili.

Punti di controllo dopo l’attivazione:

  • I log locali appaiono nel Log Viewer?
  • I log di Active-Threat-Response o IPS vengono inviati a Central?
  • I log arrivano nel SIEM?
  • Campi come Source, Destination, Firewall, Rule ID e Categoria vengono riconosciuti correttamente?
  • Esiste un dashboard o una ricerca per i rilevamenti NDR/ATR?
  • È chiaro chi valuta i rilevamenti?

Cosa dovrebbe accadere in caso di rilevamento

Un rilevamento è innanzitutto un segnale di indagine. Non ogni rilevamento è automaticamente un attacco confermato, ma ogni rilevamento rilevante richiede un processo.

Procedura minima:

  1. Registrare IP di origine, IP di destinazione, utente, regola e orario.
  2. Nel Log Viewer, controllare quale regola e quale modulo sono stati coinvolti.
  3. In Central, XDR, MDR o SIEM, cercare ulteriori eventi dello stesso host.
  4. Correlare log di endpoint, DNS, Web e autenticazione.
  5. Decidere se è necessaria l’isolamento, il blocco del firewall, l’eccezione del Threat Feed o un’ulteriore analisi.
  6. Documentare il risultato.

In caso di falsi positivi ripetuti, non si dovrebbe impostare immediatamente un’eccezione ampia. È meglio un’eccezione stretta con motivo, ticket e data di revisione. Le eccezioni in Active Threat Response possono rimuovere l’efficacia della protezione e pertanto appartengono a un processo controllato.

Errori tipici

  • NDR Active Threat Intelligence viene attivato globalmente, ma non nelle regole firewall.
  • NDR Essentials viene attivato, ma non vengono selezionate interfacce appropriate.
  • Il logging IPS o Active-Threat-Response non è attivo.
  • Central Reporting o Syslog non è configurato, sebbene sia prevista una valutazione centrale.
  • Vengono generati rilevamenti, ma nessuno li controlla.
  • La gravità o il punteggio di minaccia è impostato troppo sensibile e genera rumore inutile.
  • Le eccezioni vengono impostate troppo ampie.
  • Viene pianificato Active-Active HA o modelli XGS piccoli, sebbene la funzione non sia supportata lì.
  • TLS Inspection viene trattato come un dettaglio secondario, invece di essere pianificato correttamente.

Checklist

  • Versione SFOS e licenza verificate.
  • Appliance o piattaforma supportata confermata.
  • Modalità HA verificata.
  • Registrazione in Sophos Central verificata, se si utilizza Central Reporting, XDR o MDR.
  • Tipi di log rilevanti attivati in System services > Log settings.
  • Interfacce NDR Essentials selezionate consapevolmente.
  • Posizione del data center e punteggio minimo di minaccia documentati.
  • NDR Active Threat Intelligence attivato.
  • Regole firewall rilevanti con Scan with NDR Active threat intelligence attivate.
  • Log Viewer, Central Reporting o SIEM controllati per rilevamenti.
  • Proprietario, allarme, processo per falsi positivi e intervallo di revisione documentati.

Domande frequenti

NDR Essentials è lo stesso di NDR Active Threat Intelligence?

No. NDR Essentials analizza i flussi di traffico del firewall selezionati e rileva IoC come indirizzi IP o domini. NDR Active Threat Intelligence utilizza modelli NDR curati da Taegis, registra eventi sospetti e li invia al Sophos Data Lake.

NDR Active Threat Intelligence blocca automaticamente?

La funzione è principalmente progettata per il rilevamento e il logging. L’azione è impostata su Log threats. I rilevamenti dovrebbero essere valutati nei log, in Central, XDR, MDR o SIEM e successivamente gestiti operativamente.

Perché non si vedono rilevamenti di NDR Active Threat Intelligence?

Spesso la funzione è attiva a livello globale, ma non nelle regole firewall appropriate. Inoltre, il logging IPS deve essere attivo e il traffico interessato deve passare attraverso una regola in cui Scan with NDR Active threat intelligence è attivato.

È necessario avere ancora Threat Feeds di terze parti nonostante NDR?

Sì, in molti ambienti le funzioni si completano a vicenda. NDR fornisce segnali di rilevamento e riconoscimento dei modelli. I Threat Feeds di terze parti possono monitorare o bloccare IP, domini o URL dannosi noti basandosi su liste esterne.

Il firewall-NDR sostituisce un SIEM o MDR?

No. Il firewall-NDR fornisce segnali aggiuntivi. Per la correlazione a lungo termine, l’allarme, la gestione dei casi e la risposta agli incidenti, sono ancora necessari Central Reporting, XDR, MDR, SIEM o un chiaro processo interno.