Zum Inhalt springen
Avanet

Sophos Firewall NDR und Active Threat Response betreiben

Sophos Firewall

Sophos Firewall kann mit NDR Essentials und NDR Active Threat Intelligence zusätzliche Hinweise auf verdächtigen Netzwerkverkehr liefern. Das ist hilfreich, wenn man Angriffe nicht nur blockieren, sondern auch erkennen, untersuchen und in Sophos Central, XDR, MDR oder einem SIEM weiterverarbeiten möchte.

Wichtig ist die Erwartung: NDR auf der Firewall ist kein magischer Schalter, der jedes Problem automatisch löst. Die Funktion braucht passende Lizenzen, sichtbaren Traffic, aktivierte Logtypen, bewusst ausgewählte Firewall-Regeln und einen Prozess, der Treffer auswertet. Ohne diesen Betriebsteil entstehen nur zusätzliche Logs.

Für klassische Indicators of Compromise wie bösartige IP-Adressen, Domains oder URLs passt zuerst Sophos Firewall Threat Feeds einrichten und sicher betreiben. Dieser Artikel konzentriert sich auf NDR Essentials, NDR Active Threat Intelligence und die operative Auswertung.

Die Begriffe sauber trennen

Sophos verwendet mehrere ähnliche Namen. Für Admins ist die Unterscheidung wichtig, weil jede Funktion anders arbeitet.

FunktionWas passiertTypischer Nutzen
NDR EssentialsDie Firewall analysiert ausgewählte Flow-Daten und erkennt IoCs wie IP-Adressen oder Domains.Netzwerkbasierte Hinweise ohne separate Sensor-VM.
NDR Active Threat IntelligenceDie Firewall nutzt kuratierte Taegis-NDR-Muster, erkennt verdächtigen Traffic, loggt Events und sendet sie an den Sophos Data Lake.Hochsignalige Detection für XDR, MDR oder Security Operations.
Sophos Central NDRSeparates NDR-Produkt mit eigener Sensor-VM, typischerweise über SPAN, Mirror oder TAP.Breitere Sicht auf Ost-West-Traffic, unmanaged Geräte und interne Netzwerkbewegungen.
Threat FeedsIoC-Listen wie IPs, Domains oder URLs werden gegen Traffic geprüft.Bekannte schädliche Ziele oder Quellen blockieren oder überwachen.

NDR Essentials und NDR Active Threat Intelligence erweitern also die Sicht der Firewall. Sophos Central NDR ist eine eigene Architektur mit separatem Sensor. Third-Party Threat Feeds sind wieder ein anderer Baustein: Diese arbeiten indikatorbasiert und können je nach Aktion direkt blockieren.

Wann der Einsatz sinnvoll ist

NDR und Active Threat Response sind besonders nützlich, wenn eine Firewall nicht nur als Paketfilter betrieben wird, sondern Teil eines Detection-and-Response-Prozesses ist.

Typische Szenarien:

  • Internet-Traffic von Clients soll auf verdächtige Ziele oder Muster geprüft werden.
  • Server oder DMZ-Systeme sollen zusätzliche Detection-Signale liefern.
  • XDR, MDR oder SOC sollen Firewall-Events in Untersuchungen einbeziehen.
  • Mehrere Firewalls sollen zentral in Sophos Central oder einem SIEM ausgewertet werden.
  • Es gibt bereits einen Prozess für Alarme, Tickets, False Positives und Eskalation.

Weniger sinnvoll ist der Einsatz, wenn niemand die Ereignisse prüft, keine Logs weitergeleitet werden oder die relevanten Firewall-Regeln nicht angepasst werden. Dann ist zuerst Central Firewall Reporting oder Sophos Firewall Syslog an SIEM senden wichtiger.

Voraussetzungen

Vor der Aktivierung sollten diese Punkte geprüft werden:

  • Die Firewall läuft auf einer unterstützten SFOS-Version.
  • Das Xstream Protection Bundle ist aktiv.
  • Die Firewall ist in Sophos Central registriert, wenn Central Reporting, XDR oder MDR genutzt werden sollen.
  • Send reports and logs to Sophos Central ist aktiv, wenn Detections in Sophos Central sichtbar sein sollen.
  • Die relevanten Logtypen sind unter System services > Log settings aktiviert.
  • Für NDR Active Threat Intelligence ist IPS-Logging aktiv.
  • Für NDR Essentials ist Active-Threat-Response-Logging aktiv.
  • Es gibt einen definierten Owner für Prüfung, Tuning, Ausnahmen und Eskalation.

Vor der Aktivierung müssen die Plattformgrenzen geprüft werden. NDR Essentials unterstützt keine Active-Active-HA-Bereitstellung. NDR Active Threat Intelligence wird auf XGS 87, XGS 87w, XGS 88 und XGS 88w nicht unterstützt. In HA-Umgebungen sollte man deshalb zuerst Sophos Firewall HA Cluster Varianten verstehen prüfen.

NDR Essentials konfigurieren

NDR Essentials wird im Bereich Protect > Active threat response beziehungsweise Active Threat Response > NDR Essentials and Active Threat Intelligence konfiguriert. Die genaue Bezeichnung hängt vom SFOS-Stand ab.

Grundablauf:

  1. NDR Essentials aktivieren.
  2. Relevante Interfaces hinzufügen.
  3. Data center location für die Analyse wählen.
  4. Minimum threat score bewusst setzen.
  5. Action prüfen. NDR Essentials erkennt und loggt zunächst.
  6. System services > Log settings öffnen.
  7. Logging für Active threat response aktivieren.
  8. Speichern und nach einigen Minuten Log Viewer, Reports oder Central prüfen.

Bei den Interfaces sollte man nicht wahllos alles auswählen. Sinnvoll sind Interfaces, über die relevanter Client-, Server- oder DMZ-Traffic läuft. WAN-Interfaces sind nicht der richtige Ort für diese NDR-Auswertung; die Planung sollte sich auf LAN-, DMZ- und Custom-Zonen konzentrieren. Nicht unterstützte Interface-Typen wie RED- oder XFRM-Interfaces sollten ebenfalls vor dem Rollout berücksichtigt werden.

Wenn keine Interfaces ausgewählt werden, erkennt NDR Essentials keine neuen IoCs aus dem Traffic. Die Firewall kann aber weiterhin mit bereits erkannten IoCs arbeiten. Das ist im Betrieb leicht zu übersehen.

NDR Active Threat Intelligence konfigurieren

NDR Active Threat Intelligence nutzt kuratierte Taegis-NDR-Erkennungsmuster. Die Firewall erkennt und loggt passende Events und leitet sie an den Sophos Data Lake weiter. Diese Signale können dann in Sophos Central, XDR, MDR oder einem SOC-Kontext untersucht werden.

Grundablauf:

  1. Active Threat Response > NDR Essentials and Active Threat Intelligence öffnen.
  2. NDR Active threat intelligence aktivieren.
  3. Minimum severity level wählen.
  4. Action prüfen. Die Aktion steht auf Log threats.
  5. System services > Log settings öffnen.
  6. IPS-Logging aktivieren.
  7. Speichern.
  8. Danach die relevanten Firewall-Regeln öffnen.
  9. Unter Other security features die Option Scan with NDR Active threat intelligence aktivieren.
  10. Änderungen speichern und mit definiertem Traffic validieren.

Der letzte Punkt ist entscheidend. Die globale Aktivierung allein reicht nicht. NDR Active Threat Intelligence muss in jeder Firewall-Regel aktiviert werden, deren Traffic analysiert werden soll.

Welche Regeln man zuerst auswählt

Ein guter Rollout beginnt nicht auf allen Regeln gleichzeitig. Besser ist ein kontrollierter Pilot mit gut verständlichem Traffic.

Sinnvolle Startpunkte:

  • Client-Netze mit Internetzugriff.
  • Server-Netze mit ausgehendem Internetzugriff.
  • DMZ-Regeln mit veröffentlichten Diensten.
  • Regeln für besonders kritische interne Segmente.
  • Regeln mit bereits aktiviertem IPS-, Web- oder TLS-Inspection-Konzept.

Regeln ohne klares Logging, ohne Owner oder mit sehr breitem unklassifiziertem Traffic sind kein guter Start. Dort sollte zuerst die Regelbasis bereinigt werden. Für Regelanalyse und Matching passt Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

Sichtbarkeit und TLS Inspection

NDR-Signale sind nur so gut wie die Sichtbarkeit der Firewall. Wenn Traffic verschlüsselt ist und die Firewall nur Ziel-IP oder SNI sieht, bleiben manche Muster unsichtbar. Wenn Web- oder TLS-Inspection sauber geplant ist, kann die Firewall mehr Kontext prüfen.

Das bedeutet nicht, dass man TLS Inspection überall sofort aktivieren sollte. TLS Inspection ist ein eigenes Betriebsprojekt mit Zertifikaten, Ausnahmen, Datenschutz, Performance und Supportaufwand. Für einen geplanten Rollout passt Sophos Firewall TLS Inspection richtig einführen.

Auch QUIC und HTTP/3 können Web- und Inspection-Konzepte beeinflussen. Wenn Browser Traffic an klassischen HTTPS-Inspection-Pfaden vorbeiläuft, sollte Sophos Firewall QUIC und HTTP/3 richtig blockieren mitgeprüft werden.

Logs und Auswertung

Ohne Logauswertung ist NDR kaum nützlich. Je nach Funktion sind unterschiedliche Logbereiche relevant.

BereichWo prüfen
NDR EssentialsActive threat response Logs, Threat indicators, Central Reporting oder SIEM
NDR Active Threat IntelligenceIPS-Logs, Log Viewer Filter Category is NDR Active threat intelligence, Central Firewall Reporting
XDR/MDR-AuswertungSophos Central Threat Analysis Center, Detections oder Cases
Langfristige KorrelationSyslog, SIEM, SOC- oder MDR-Plattform

Für Sophos Central muss die Firewall Logs und Reports an Central senden. Der Ablauf steht in Sophos Firewall Central Reporting aktivieren und betreiben. Für ein eigenes SIEM muss der passende Logtyp per Syslog weitergeleitet und im Zielsystem geparst werden. Nur das Aktivieren der Funktion beweist also noch nicht, dass Detections später auffindbar sind.

Prüfpunkte nach der Aktivierung:

  • Erscheinen lokale Logeinträge im Log Viewer?
  • Werden Active-Threat-Response- oder IPS-Logs an Central gesendet?
  • Kommen die Logs im SIEM an?
  • Werden Felder wie Source, Destination, Firewall, Rule ID und Kategorie korrekt erkannt?
  • Gibt es ein Dashboard oder eine Suche für NDR-/ATR-Treffer?
  • Ist klar, wer Treffer bewertet?

Was bei einem Treffer passieren sollte

Ein Treffer ist zuerst ein Untersuchungssignal. Nicht jeder Treffer ist automatisch ein bestätigter Angriff, aber jeder relevante Treffer braucht einen Ablauf.

Minimaler Ablauf:

  1. Source IP, Destination IP, Benutzer, Regel und Uhrzeit erfassen.
  2. Im Log Viewer prüfen, welche Regel und welches Modul beteiligt waren.
  3. In Central, XDR, MDR oder SIEM nach weiteren Ereignissen desselben Hosts suchen.
  4. Endpoint-, DNS-, Web- und Authentifizierungslogs korrelieren.
  5. Entscheiden, ob Isolation, Firewall-Block, Threat-Feed-Ausnahme oder weitere Analyse nötig ist.
  6. Ergebnis dokumentieren.

Bei wiederholten False Positives sollte nicht sofort eine breite Ausnahme gesetzt werden. Besser ist eine enge Ausnahme mit Grund, Ticket und Review-Datum. Ausnahmen in Active Threat Response können Schutzwirkung entfernen und gehören deshalb in einen kontrollierten Prozess.

Typische Fehler

  • NDR Active Threat Intelligence wird global aktiviert, aber nicht in den Firewall-Regeln eingeschaltet.
  • NDR Essentials wird aktiviert, aber es werden keine passenden Interfaces ausgewählt.
  • IPS- oder Active-Threat-Response-Logging ist nicht aktiv.
  • Central Reporting oder Syslog ist nicht eingerichtet, obwohl zentrale Auswertung erwartet wird.
  • Detections werden erzeugt, aber niemand prüft sie.
  • Severity oder Threat Score wird zu empfindlich gesetzt und erzeugt unnötiges Rauschen.
  • Ausnahmen werden zu breit gesetzt.
  • Active-Active HA oder kleine XGS-Modelle werden eingeplant, obwohl die Funktion dort nicht unterstützt ist.
  • TLS Inspection wird als Nebenhaken behandelt, statt sauber geplant zu werden.

Checkliste

  • SFOS-Version und Lizenz geprüft.
  • Unterstützte Appliance oder Plattform bestätigt.
  • HA-Modus geprüft.
  • Sophos Central Registrierung geprüft, wenn Central Reporting, XDR oder MDR genutzt wird.
  • Relevante Logtypen unter System services > Log settings aktiviert.
  • NDR Essentials Interfaces bewusst ausgewählt.
  • Data center location und Minimum threat score dokumentiert.
  • NDR Active Threat Intelligence aktiviert.
  • Relevante Firewall-Regeln mit Scan with NDR Active threat intelligence versehen.
  • Log Viewer, Central Reporting oder SIEM auf Treffer geprüft.
  • Owner, Alarmierung, False-Positive-Prozess und Review-Intervall dokumentiert.

Häufige Fragen

Ist NDR Essentials dasselbe wie NDR Active Threat Intelligence?

Nein. NDR Essentials analysiert ausgewählte Firewall-Traffic-Flows und erkennt IoCs wie IP-Adressen oder Domains. NDR Active Threat Intelligence nutzt kuratierte Taegis-NDR-Muster, loggt verdächtige Events und sendet sie an den Sophos Data Lake.

Blockiert NDR Active Threat Intelligence automatisch?

Die Funktion ist primär auf Detection und Logging ausgelegt. Die Aktion steht auf Log threats. Treffer sollten in Logs, Central, XDR, MDR oder SIEM ausgewertet und danach operativ behandelt werden.

Warum sieht man keine NDR Active Threat Intelligence Treffer?

Häufig ist die Funktion zwar global aktiv, aber nicht in den passenden Firewall-Regeln eingeschaltet. Zusätzlich muss IPS-Logging aktiv sein und der betroffene Traffic muss durch eine Regel laufen, in der Scan with NDR Active threat intelligence aktiviert ist.

Braucht man trotz NDR noch Third-Party Threat Feeds?

Ja, in vielen Umgebungen ergänzen sich die Funktionen. NDR liefert Detection-Signale und Mustererkennung. Third-Party Threat Feeds können bekannte bösartige IPs, Domains oder URLs anhand externer Listen überwachen oder blockieren.

Ersetzt Firewall-NDR ein SIEM oder MDR?

Nein. Firewall-NDR liefert zusätzliche Signale. Für längerfristige Korrelation, Alarmierung, Fallbearbeitung und Incident Response braucht es weiterhin Central Reporting, XDR, MDR, SIEM oder einen klaren internen Prozess.