Zum Inhalt springen
Avanet

Sophos Firewall Threat Feeds einrichten und sicher betreiben

Die Sophos Firewall Threat Feeds von Cybora liefern kontinuierliche Threat Intelligence Feeds, die Indicators of Compromise (IoCs) automatisch in die Sophos Firewall importieren. Solche IoCs sind zum Beispiel bösartige IP-Adressen, Malware-Domains, Phishing-URLs oder bekannte Botnet-C&C-Server.

Für den übergeordneten Hardening-Kontext passt der Hub Sophos Firewall Hardening: Best Practices für eine sichere Konfiguration.

Dadurch entfällt ein grosser Teil des manuellen Pflegeaufwands. Statt einzelne Angreifer-IP-Adressen oder Domains von Hand in Host-Objekten, Firewall-Regeln oder Blocklisten nachzuführen, bezieht die Firewall die Daten automatisch aus einem kuratierten Feed und kann passenden Traffic blockieren.

Besonders wertvoll ist das, sobald eine Firewall von aussen sichtbar ist. Öffentliche IPs, DNAT-Regeln, WAF-Veröffentlichungen, VPN-Portale oder WebAdmin-Zugänge werden oft sehr schnell von Bots, Scannern und automatisierten Exploit-Frameworks gefunden. Ein guter Threat Feed reduziert diesen unerwünschten Traffic, bevor er tiefer in die Umgebung gelangt.

Kurz gesagt: Threat Feeds sind dann stark, wenn sie als Betriebsprozess verstanden werden. Feed auswählen, Indikatortyp korrekt setzen, zuerst sichtbar testen, dann blockieren, Treffer regelmässig prüfen und False Positives sauber behandeln. Einfach nur eine grosse Liste einzubinden, ist keine gute Sicherheitsstrategie.

Einordnung

Was Threat Feeds sind

Threat Feeds oder Bedrohungsfeeds sind Listen von Indikatoren für Kompromittierungen. In der Praxis sind das Hinweise auf bekannte schädliche Infrastruktur:

  • IP-Adressen: Scanner, Botnetze, kompromittierte Systeme oder Command-and-Control-Server.
  • Domains: Malware-, Phishing- oder C2-Domains.
  • URLs: konkrete bösartige Pfade oder Download-Links.

Diese Feeds stammen je nach Anbieter aus Sicherheitsorganisationen, Branchenkonsortien, Open-Source-Communities, kommerzieller Threat Intelligence, Honeypots oder eigenen Sensoren. In Sophos Firewall v21 wurde die Funktion durch Drittanbieter-Feeds erweitert, die über das Active Threat Response Framework eingebunden werden.

Die Vorteile sind klar:

  • Proaktiver Schutz: Bedrohungen blockieren, bevor Schaden entsteht.
  • Flexibilität: Feeds verschiedener Anbieter nutzen, abgestimmt auf individuelle Anforderungen.
  • Automatisierung: Die Firewall blockiert automatisch; manuelle Eingriffe entfallen.
  • Entlastung: Unerwünschter Traffic wird früher verworfen und erreicht interne Dienste gar nicht erst.

Threat-Feed-Module nicht vermischen

Unter Active threat response liegen mehrere Funktionen nebeneinander. Die Namen klingen ähnlich, lösen aber unterschiedliche Aufgaben.

  • Sophos X-Ops Threat Feeds: Sophos-eigene Indikatoren für bekannte Bedrohungen. Im Betrieb Network-Protection-Funktion aktivieren und Logs prüfen.
  • MDR Threat Feeds: Bedrohungsinformationen aus Sophos MDR/XDR-Kontext. Im Betrieb MDR-/Central-Prozess und Firewall-Logging verbinden.
  • Third-Party Threat Feeds: Externe IoC-Listen wie Cybora als IP-, Domain- oder URL-Feed. Im Betrieb Feedqualität, Aktion, Synchronisation und Ausnahmen verantworten.
  • NDR Essentials / NDR Active Threat Intelligence: Erkennung verdächtiger Traffic-Muster statt reine IoC-Liste. Im Betrieb Detection-Signale auswerten und nicht mit einer Blockliste verwechseln.

Dieser Artikel behandelt vor allem Third-Party Threat Feeds. Für NDR und Active Threat Intelligence passt Sophos Firewall NDR und Active Threat Response betreiben.

Typische Einsatzgebiete

Threat Feeds sind nicht nur für ausgehenden Client-Traffic interessant. Gerade bei öffentlich erreichbaren Diensten sieht man in der Praxis sehr schnell automatisierte Zugriffe.

  • DNAT auf interne Server: Portweiterleitungen werden schnell gescannt. Ein IPv4-Feed kann bekannte schlechte Quellen blockieren, bevor sie den internen Server erreichen.
  • WAF-Veröffentlichungen: Webserver sehen häufig Bot-Traffic, CVE-Scans, CMS-Probes und Credential-Stuffing. Threat Feeds ergänzen WAF-Regeln um Reputation.
  • VPN Portal, User Portal und WebAdmin: Portale sollten zuerst über Device Access, MFA und Quellnetze geschützt werden. Threat Feeds reduzieren zusätzlich bekannte Angreiferquellen.
  • Ausgehender Client-Traffic: Domain- und URL-Feeds können bekannte Malware-, Phishing- oder C2-Ziele blockieren.
  • Stark gescannte WAN-Adressen: Wenn eine öffentliche IP dauerhaft Bot-Traffic sieht, kann ein guter IPv4-Feed die Firewall und die Logs spürbar entlasten.

Seit SFOS 22 sind Threat Feeds besonders interessant für eingehenden, weitergeleiteten Traffic wie DNAT und WAF. Die Firewall kann bekannte schlechte Quellen dadurch auch vor veröffentlichten Diensten erkennen. Für ältere Installationen oder gemischte Stände sollte man diesen Punkt bewusst prüfen, bevor man denselben Schutzgrad annimmt.

Threat Feeds ersetzen aber keine saubere Veröffentlichung. Wenn ein Dienst per DNAT oder WAF erreichbar ist, sollten weiterhin nur notwendige Ports geöffnet, Quellnetze oder Länder eingeschränkt, IPS/WAF-Regeln aktiviert und Logs geprüft werden. Threat Feeds sind ein zusätzlicher Schutzbaustein, kein Freipass für breite Any-Regeln.

Voraussetzungen und Lizenz

Um Third-Party Threat Feeds nutzen zu können, benötigt man auf der Sophos Firewall das Xstream Protection Bundle. Dafür sind keine zusätzlichen Sophos-Central-Lizenzen notwendig. Andere Threat-Feed-Module haben eigene Anforderungen: Sophos X-Ops Threat Feeds benötigen Network Protection, MDR Threat Feeds zusätzlich Sophos MDR Essentials oder MDR Complete in Sophos Central und NDR Essentials das Xstream Appliance Bundle.

Zusätzlich sollte man vor dem Rollout prüfen:

  • Die Firewall läuft auf einer SFOS-Version mit Third-Party Threat Feed-Unterstützung.
  • Die Firewall kann die Feed-URL per DNS und HTTPS erreichen.
  • Pro Feed wird ein klarer Indicator type verwendet, zum Beispiel IPv4 address, Domain oder URL.
  • Der Feed ist eine Plain-Text-Datei mit einem Indikator pro Zeile.
  • IP-Ranges, IPv6-Adressen, Netzwerkadressen, Wildcard-Domains und reguläre Ausdrücke sind für Third-Party Threat Feeds nicht das passende Format.
  • Das Logging für Active Threat Response ist aktiviert.
  • Es ist klar, ob der Feed zuerst nur beobachtet oder direkt blockiert.

Praktische Empfehlung: Neue Feeds zuerst kontrolliert einführen. Wenn die Firewall es erlaubt, startet man mit einer Beobachtungsphase, prüft die Treffer im Log Viewer und schaltet danach auf Blockierung. So erkennt man früh, ob legitime Systeme betroffen wären.

URL-Feeds und TLS Inspection

IP- und Domain-Feeds sind meistens einfach zu verstehen. URL-Feeds sind etwas anspruchsvoller, weil die Firewall den relevanten URL-Pfad sehen muss. Bei HTTPS-Verkehr ist das ohne passende Entschlüsselung nicht immer möglich.

Wenn URL-Feeds produktiv genutzt werden sollen, muss man deshalb prüfen, ob Web Proxy, DPI Engine und TLS Inspection zur Umgebung passen. Ohne saubere Sicht auf den HTTPS-Traffic kann ein URL-Feed weniger wirksam sein, als man erwartet.

Für Domain- und URL-Feeds reicht die Feed-Konfiguration allein nicht immer aus. Die Firewall braucht eine passende Firewall-Regel für den Traffic und je nach Verkehr Application Classification oder eine IPS-Policy. Für vollständige URL-Pfade über HTTPS braucht es zusätzlich Web-Proxy-Entschlüsselung oder DPI mit passender SSL/TLS-Inspection-Regel. Wenn ein Feed scheinbar keine Treffer erzeugt, sollte man deshalb nicht nur die Feed-URL prüfen, sondern auch Firewall-Regel, Inspection-Pfad und Exclusions.

Planung vor dem Rollout

Monitor oder Block?

Ein Threat Feed kann je nach SFOS-Version und Konfiguration überwachen oder blockieren. Für produktive Sicherheit ist Blockieren oft das Ziel, aber nicht jeder Feed sollte blind sofort in den Blockmodus.

  • Monitor: Treffer sichtbar machen, ohne Traffic direkt zu blockieren. Dabei Logvolumen, betroffene Quellen/Ziele und unerwartete Treffer prüfen.
  • Block: Bekannte bösartige Indikatoren aktiv stoppen. Dabei False-Positive-Prozess, Alarmierung und Ausnahmen vorbereiten.
  • Review: Wirksamkeit und Nebenwirkungen prüfen. Dabei Feedqualität, alte Treffer, Supportfälle und Geschäftsrisiko bewerten.

Bei stark exponierten Diensten kann ein gut kuratierter IPv4-Feed direkt viel Rauschen reduzieren. Bei Domain- oder URL-Feeds sollte man vorsichtiger sein, weil legitime Dienste häufiger über geteilte Infrastruktur, CDNs oder Weiterleitungen laufen können.

Sophos wertet Block- und Monitor-Feeds in der angezeigten Reihenfolge aus. Geloggt wird der erste passende Treffer in beiden Feedarten; blockiert wird anhand des ersten Treffers in der Blockliste. Das macht die Reihenfolge praktisch relevant: Ein sauber kuratierter produktiver Blockfeed gehört nicht irgendwo zwischen Testfeeds, temporäre Incident-Listen und experimentelle Quellen.

Feed-Reihenfolge und Position

Beim Hinzufügen eines Third-Party-Feeds kann man die Feed-Position festlegen. Das wirkt banal, ist aber im Betrieb hilfreich: Kritische, gut kuratierte Feeds sollten eindeutig benannt und geordnet sein. Testfeeds, temporäre Feeds oder Quellen mit höherem False-Positive-Risiko sollten nicht zwischen produktiven Feeds versteckt werden.

Praktische Namenskonvention:

  • Produktiver IPv4-Blockfeed: cybora-premium-ipv4-block
  • Domain-Feed im Monitor-Modus: cybora-standard-domain-monitor
  • Temporärer Incident-Feed: incident-2026-06-c2-ipv4

Ein guter Name zeigt Anbieter, Plan oder Zweck, Indikatortyp und Aktion. Das spart Zeit im Log Viewer und bei späteren Reviews.

Synchronisation und Storage Quota

Sophos Firewall zeigt bei Third-Party Threat Feeds aktive Feeds, Gesamtzahl der Threat Indicators, Storage Quota und Synchronisationsstatus. Diese Werte sollten nach der Einrichtung nicht ignoriert werden.

Wichtige Kontrollen:

  • Sync status: Success, Fetching oder Disabled sind schnell einzuordnen. Bei Authentication error, Connection error, Storage full, SSL/TLS error oder Failed sollte man gezielt Ursache und Feed prüfen.
  • Last updated: Zeitstempel passt zum erwarteten Polling-Intervall.
  • Storage quota: Die Firewall hat noch genügend Platz für die geladenen IoCs.
  • Threat indicators: Anzahl passt grob zur Erwartung des Anbieters.
  • Synchronize now: Manuelle Synchronisation funktioniert, wenn man nach einer Änderung nicht auf das nächste Polling-Intervall warten möchte.

Wenn die Storage Quota voll ist, ist nicht automatisch der Feedanbieter schuld. Kleine Appliances haben weniger Spielraum als grössere Modelle. Die Firewall ruft IoCs weiterhin im konfigurierten Intervall ab und aktualisiert die Liste, sobald wieder Speicher frei ist. Trotzdem sollte man dann Feedumfang, Indikatortypen und Priorität prüfen, statt immer mehr Listen einzubinden.

Bei kleineren XGS-Modellen kann zusätzlich das Polling-Intervall eingeschränkt sein. XGS 87/87w, 88/88w und 107/107w unterstützen laut Sophos für Third-Party Threat Feeds nur 24h, 7d und 30d als Polling-Optionen. Wenn ein gebuchter Feed häufiger aktualisiert wird, muss man diesen Plattformunterschied in der Erwartung an Aktualität und Blockwirkung berücksichtigen.

Vom Free bis zum Ultimate Threat Feed – by Cybora

Zuverlässige und aktuelle Bedrohungsinformationen sind entscheidend. Avanet setzt deshalb auf kuratierte Threat-Feed-Pläne von Cybora, die speziell für den Einsatz auf Sophos Firewalls geeignet sind.

Die Feeds werden aus verschiedenen Quellen zusammengestellt, damit eine möglichst breite und zuverlässige Bedrohungserkennung entsteht. Dazu gehören Community- und OSINT-Daten, kommerziell eingekaufte Informationen, Ergebnisse aus Honeypots sowie anonymisierte Angriffs-, Fehler- und Anomalie-Logs aus real betriebenen Sophos-Firewall-Umgebungen.

Free (Basic) eignet sich für Home User, PoC und Kompatibilitätstests. Standard ergänzt den IPv4-Feed um wichtige Malware- und Phishing-Domains. Premium erweitert die Abdeckung um Domains und URLs mit stündlichen Updates. Ultimate ist für kritische Infrastruktur und High-Risk-Perimeter mit 15-Minuten-Updates ausgelegt.

Mit Sophos Firewall Threat Feeds lässt sich bekannte schädliche Infrastruktur früher ausfiltern. Je nach Umgebung reicht der kostenlose Basic-Plan für Tests, während Standard, Premium und Ultimate für produktive Anforderungen mit steigender Abdeckung und Aktualität gedacht sind.

Cybora passt vor allem dann, wenn man einen konkreten, kaufbaren Feed für Sophos Firewall sucht und nicht selbst mehrere OSINT-Listen sammeln, formatieren, prüfen und betreiben möchte. Der praktische Wert liegt weniger in der grössten Liste, sondern in kuratierten Indikatoren, klaren Feed-Plänen und einem Betriebspfad, der zur Third-Party-Threat-Feed-Funktion der Sophos Firewall passt.

Threat Feeds vergleichen

Free / Basic

Free (Basic)

$0/pro Jahr

  • Update-Intervall: alle 24 h
  • IPv4: 20,000 IPv4
  • Support: Kein Support
Auswählen

Basic Protection

Standard

$179/pro Jahr

  • Update-Intervall: alle 6 h
  • IPv4: 85,000 IPv4
  • Domains: Top 5,000 Domains
  • Support: Standard
Auswählen

Advanced Protection

Premium

$349/pro Jahr

  • Update-Intervall: alle 1 h
  • IPv4: 220,000 IPv4
  • Domains: 45,000 Domains
  • URLs: 25,000 URLs
  • Support: Priorität
Auswählen

Mission-Critical Protection

Ultimate

$1,999/pro Jahr

  • Update-Intervall: alle 15 min
  • IPv4: 300,000+ IPv4
  • Domains: 100,000+ Domains
  • URLs: 100,000 URLs
  • Support: Sehr hoch
Auswählen

Beim Vergleich sollte man nicht nur auf die Anzahl Einträge achten. Eine riesige Liste ist nicht automatisch besser, wenn sie viele False Positives erzeugt oder schlecht gepflegt ist. Entscheidend ist, dass der Feed aktuell, kuratiert und für die Firewall gut nutzbar ist.

Wichtige Kriterien:

  • Aktualität der Daten
  • unterstützte Indikatortypen
  • Qualität und Kuratierung der Quellen
  • Update-Intervall
  • False-Positive-Risiko
  • Nachvollziehbarkeit im Log Viewer
  • sinnvoller Ausnahmeprozess

Avanet Firewall Network

Ein Teil des Premium Feeds sind Daten aus einem verteilten Firewall-Netzwerk. Dieser Blick ist vor allem bei Angriffsmustern interessant, die auf einer einzelnen Firewall kaum auffallen.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Viele Werkzeuge erkennen Brute‑Force‑Angriffe einzelner IP‑Adressen problemlos, versagen aber bei verteilten Angriffen durch Botnetze. In solchen Fällen führt jeder vom Angreifer kontrollierte Host nur wenige fehlgeschlagene Anmeldeversuche in niedriger Frequenz durch und entgeht so der Erkennung und Blockierung.

Einige Botnetze umfassen Hunderttausende infizierte Hosts, wodurch Cyberkriminelle massive Brute‑Force‑Angriffe durchführen können, ohne blockiert zu werden.

Aus solchen Mustern entsteht ein ständig aktualisierter Threat Intelligence Feed mit IPs, die auf mehreren Systemen auffällig wurden. Durch die Zusammenführung und kontinuierliche Einspeisung dieser Daten in den Threat Intelligence Feed werden IP-Adressen identifiziert, die gezielt Infrastruktur attackieren, und automatisch abgewehrt.

Was Threat Feeds nicht ersetzen

Threat Feeds sind stark, aber sie sind kein Ersatz für saubere Firewall-Grundlagen.

Nicht ersetzt werden:

  • restriktive Firewall-Regeln
  • MFA für VPN, Portale und Admin-Zugänge
  • Device Access und Local Service ACL, wie in Sophos Firewall Zugriff absichern beschrieben
  • IPS, WAF, Web Protection und TLS Inspection
  • Patchmanagement und Hotfixes
  • Logging, Reporting und regelmässige Kontrolle

Wenn zum Beispiel ein Webserver per DNAT veröffentlicht wird, sollte die Firewall-Regel trotzdem möglichst enge Quellen, konkrete Services und aktiviertes Logging haben. Ein Threat Feed blockiert bekannte schlechte Quellen, aber unbekannte oder neue Angreifer können weiterhin ankommen.

Sophos Firewall Threat Feed einrichten

Die Integration der Cybora Threat Feeds ist unkompliziert und in wenigen Minuten erledigt. Alle Feeds sind vollständig kompatibel mit der Third-Party-Threat-Feed-Funktion der Sophos Firewall und können wie folgt über die Weboberfläche der Firewall hinzugefügt werden:

  1. Menü öffnen: Protect > Active threat response > Third-party threat feeds > Add
  2. Grunddaten eintragen
    • Name: cybora-premium-ipv4
    • Description: Cybora Feed - Premium
  3. Indikatortyp festlegen
    • Indicator type: IPv4 address, Domain oder URL
    • Pro Indikatortyp einen eigenen Feed anlegen, wenn dieselbe Quelle IPs, Domains und URLs anbietet.
  4. Aktion wählen
    • Für produktive Blockierung: Block.
    • Für vorsichtigen Start: Monitor oder beobachtende Aktion wählen, falls verfügbar und sinnvoll.
  5. Feed-URL hinterlegen
    • Im Feld External URL die passende Adresse aus der Avanet-Feed-Liste einfügen.
    • Die URL muss eine Textdatei liefern, in der pro Zeile ein Indikator steht.
  6. Abrufintervall setzen
    • Polling interval: passend zum gebuchten Feed wählen.
    • Eine kürzere Zeit hilft nicht, wenn der Feed selbst nur in einem längeren Intervall aktualisiert wird.
  7. Authentifizierung konfigurieren (falls notwendig)
    • Je nach Feed ohne Authentifizierung, mit API-Key oder Basic Authentication.
    • Zugangsdaten und Feed-Key nicht in Tickets, Screenshots oder öffentlichen Dokumentationen offenlegen.
  8. Verbindung testen und speichern
    • Test connection ausführen.
    • Danach mit Save speichern.
Sophos Firewall Threat Feeds hinzufügen
Sophos Firewall Threat Feeds hinzufügen

Nach dem Speichern sollte man nicht sofort zum nächsten Thema springen. Zuerst prüfen, ob der Feed synchronisiert, ob die erwartete Anzahl IoCs sichtbar ist und ob der Log Viewer Treffer mit Feedname, Aktion, Quelle und Ziel nachvollziehbar anzeigt.

Kontrolle im Betrieb

Nach der Einrichtung sollte man nicht einfach davon ausgehen, dass alles passt. Wichtig ist, dass Treffer sichtbar und erklärbar sind.

  1. System services > Log settings prüfen und Active-Threat-Response-Logging aktivieren.
  2. Im Log viewer nach Active threat response filtern.
  3. Prüfen, welcher Feed getroffen hat.
  4. Quelle, Ziel, Service und betroffene Firewall-Regel kontrollieren.
  5. Bei False Positives keine breite Ausnahme setzen, sondern den konkreten Indikator prüfen und dokumentieren.

Gerade bei DNAT, WAF und VPN-Portalen sieht man nach der Aktivierung oft sehr schnell, wie viel unerwünschter Traffic aus bekannten schlechten Quellen kommt. Deshalb eignen sich Threat Feeds besonders gut als zusätzlicher Schutzbaustein für exponierte Dienste.

Wenn ein Feed keine Treffer zeigt

Keine Treffer bedeuten nicht automatisch, dass der Feed schlecht ist. Es kann auch sein, dass ein anderer Active-Threat-Response-Baustein denselben IoC früher erkennt, dass der relevante Traffic nicht durch die passende Firewall-Regel läuft oder dass die Firewall bei Domains und URLs nicht genug Kontext sieht.

Sinnvolle Prüfung:

  1. Threat indicators öffnen und nach einem bekannten Testindikator suchen.
  2. Prüfen, ob der Feed aktiv ist und ob der Sync status Success zeigt.
  3. Bei Authentication error Zugangsdaten oder API-Key prüfen.
  4. Bei Connection error DNS, Internetzugriff, HTTP-Status und Feed-Server prüfen.
  5. Bei SSL/TLS error CA-Zertifikat und Zertifikatspfad des Feed-Servers prüfen.
  6. Bei Failed Feedformat, Dateiaufruf im Browser und ungültige Indikatoren prüfen.
  7. Firewall-Regel und Log Viewer für den erwarteten Traffic prüfen.
  8. Bei Domain-Feeds Application Classification oder IPS-Policy prüfen.
  9. Bei URL-Feeds Web Proxy, DPI und SSL/TLS-Inspection-Regel prüfen.
  10. Threat Exclusions, Web Exclusions und SSL/TLS Exclusion Lists kontrollieren.
  11. Wenn nach einer Beobachtungsphase keine relevanten Treffer entstehen, Feedumfang oder Feedposition neu bewerten.

False Positives behandeln

False Positives sind bei jeder dynamischen Blockliste möglich. Entscheidend ist, wie sauber man damit umgeht.

Praktischer Ablauf:

  1. Betroffenen Logeintrag im Log Viewer öffnen.
  2. Feedname, Indikatortyp, Aktion, Source, Destination und Service notieren.
  3. Prüfen, ob der Traffic fachlich erwartet und legitim ist.
  4. Indikator beim Feedanbieter prüfen oder melden.
  5. Ausnahme nur so eng wie möglich setzen.
  6. Ticket, Grund und Review-Datum dokumentieren.

Keine gute Lösung ist eine breite Ausnahme für ganze Netze, nur weil ein Benutzer “eine Seite nicht öffnen kann”. Bei URL- oder Domain-Treffern sollte zusätzlich geprüft werden, ob TLS Inspection, Web Policy, DNS Protection oder eine andere Sicherheitsfunktion beteiligt ist.

Betriebscheckliste

  • Feedname, Anbieter, Plan und Owner dokumentiert.
  • Indikatortyp pro Feed eindeutig gesetzt.
  • Aktion Monitor oder Block bewusst gewählt.
  • Polling-Intervall passend zum Feed gesetzt.
  • Zertifikatsprüfung und Authentifizierung getestet.
  • Synchronisationsstatus und Storage Quota geprüft.
  • Active-Threat-Response-Logs sichtbar.
  • False-Positive-Prozess mit Review-Datum definiert.
  • DNAT-, WAF- und VPN-Szenarien nach SFOS-Version bewertet.
  • Alarme oder Reports für wiederkehrende Treffer eingeplant.

FAQ

Welche Lizenz braucht man für Third-Party Threat Feeds?

Für Third-Party Threat Feeds auf der Sophos Firewall wird in der Praxis das Xstream Protection Bundle benötigt. Vor dem Rollout sollte man prüfen, ob die eingesetzte Firewall und Lizenz die Funktion unterstützt.

Sollte man Threat Feeds direkt blockieren lassen?

Bei bekannten und kuratierten Feeds ist Blockieren das Ziel. In sensiblen Umgebungen kann es trotzdem sinnvoll sein, zuerst Treffer zu beobachten und False Positives auszuschliessen.

Helfen Threat Feeds auch bei DNAT oder WAF?

Ja, besonders ab SFOS 22 ist das ein wichtiger Anwendungsfall. Gerade veröffentlichte Dienste werden schnell von Bots und Scannern gefunden. Ein IPv4-Feed kann bekannte schlechte Quellen blockieren, bevor sie den veröffentlichten Dienst oder die WAF-Anwendung erreichen.

Warum braucht man getrennte Feeds für IPs, Domains und URLs?

Die Sophos Firewall verarbeitet einen Feed anhand des gewählten Indicator type. Wenn eine Quelle mehrere Typen liefert, sollte man diese getrennt als IPv4-, Domain- oder URL-Feed anlegen.

Ersetzt ein Threat Feed IPS oder WAF?

Nein. Threat Feeds blockieren bekannte schlechte Indikatoren. IPS, WAF, Web Protection, TLS Inspection, MFA, Patchmanagement und saubere Firewall-Regeln bleiben weiterhin notwendig.

Was tun, wenn ein Threat Feed legitimen Traffic blockiert?

Zuerst den Logeintrag prüfen: Feedname, Indikatortyp, Quelle, Ziel, Service und Aktion. Danach den Indikator fachlich bewerten, beim Anbieter melden und nur eine enge Ausnahme mit Grund und Review-Datum setzen.