Sophos Firewall Threat Feeds

Die Sophos Firewall Threat Feeds von Cybora liefern kontinuierliche Threat Intelligence Feeds, die Indicators of Compromise (IoCs) – etwa bösartige IP-Adressen, Domains oder URLs – automatisch in Ihre Sophos Firewall importieren und sofort blockieren. Dadurch entfällt ein grosser Teil des manuellen Pflegeaufwands für Administratoren: Die Feeds enthalten nicht nur aktuelle Community- und OSINT-Daten, sondern auch kommerziell eingekaufte Informationen, Ergebnisse unserer Honeypots sowie anonymisierte Angriffs-, Fehler- und Anomalie-Logs aus zahlreichen von uns betreuten Sophos Firewalls. So werden Malware-Domains, Botnet-C&C-Server und Phishing-Sites proaktiv herausgefiltert. Das erhöht die Sicherheit Ihrer Infrastruktur und reduziert gleichzeitig den unerwünschten Traffic auf der Firewall spürbar.

Was sind Threat Feeds?

Threat Feeds, oder Bedrohungsfeeds, sind Listen von Indikatoren für Kompromittierungen (IoCs), wie bösartige IP-Adressen, Domains und URLs. Diese Feeds stammen von externen Quellen, wie Sicherheitsorganisationen, Branchenkonsortien oder Open-Source-Communities, und ermöglichen es Ihrer Sophos Firewall, Datenverkehr von bekannten Bedrohungen automatisch zu blockieren. Die Integration dieser Feeds in Ihre Firewall sorgt für eine proaktive Verteidigung, die Angriffe abwehrt, bevor sie Ihr Netzwerk erreichen. In Sophos Firewall v21 wurde diese Funktion durch die Unterstützung von Drittanbieter-Feeds erweitert, die über das Active Threat Response Framework implementiert werden.

Die Vorteile sind klar:

• Proaktiver Schutz: Bedrohungen blockieren, bevor Schaden entsteht.
• Flexibilität: Feeds verschiedener Anbieter nutzen, abgestimmt auf individuelle Anforderungen.
• Automatisierung: Die Firewall blockiert automatisch; manuelle Eingriffe entfallen.

Voraussetzungen für Threat Feeds

Um die Sophos Firewall Threat Feeds-Funktion nutzen zu können, benötigt man die Xstream Protection Bundle Lizenz für die Sophos Firewall. Dieses Bundle umfasst fortschrittliche Sicherheitsfeatures, die es der Firewall ermöglichen, Bedrohungsinformationen effizient zu verarbeiten und darauf zu reagieren. Ohne dieses Bundle ist die Nutzung von Drittanbieter-Feeds nicht möglich, da es die notwendigen Module für die Verarbeitung der IoCs bereitstellt.

Vom Free bis zum Ultimate Threat Feed – by Cybora

Wir verstehen, wie wichtig zuverlässige und aktuelle Bedrohungsinformationen für Ihre Netzwerksicherheit sind. Deshalb bieten wir Ihnen mehrere sorgfältig kuratierte Threat-Feed-Pläne an, die speziell für Sophos Firewalls optimiert sind. Dies erreichen wir durch die Zusammenarbeit mit Cybora.

Die Feeds werden aus einer Vielzahl renommierter Quellen zusammengestellt, um eine umfassende und zuverlässige Bedrohungserkennung zu gewährleisten. Free (Basic) eignet sich für Home User, PoC und Kompatibilitätstests. Standard ergänzt den IPv4-Feed um wichtige Malware- und Phishing-Domains. Premium erweitert die Abdeckung um Domains und URLs mit stündlichen Updates. Ultimate ist für kritische Infrastruktur und High-Risk-Perimeter mit 15-Minuten-Updates ausgelegt.

Mit den Sophos Firewall Threat Feeds kann man die Netzwerksicherheit auf die nächste Stufe heben. Mit unseren kuratierten Feeds entfällt die komplexe Feed-Verwaltung. Je nach Umgebung reicht der kostenlose Basic-Plan für Tests, während Standard, Premium und Ultimate für produktive Anforderungen mit steigender Abdeckung und Aktualität gedacht sind.

Threat Feeds vergleichen – Sicherheit für deine Bedürfnisse

Avanet Firewall Network

Ein Teil des Premium Feeds sind die Daten unseres Firewall-Netzwerks, welches weltweit verteilt ist.

Viele Werkzeuge erkennen Brute‑Force‑Angriffe einzelner IP‑Adressen problemlos, versagen aber bei verteilten Angriffen durch Botnetze. In solchen Fällen führt jeder vom Angreifer kontrollierte Host nur wenige fehlgeschlagene Anmeldeversuche in niedriger Frequenz durch und entgeht so der Erkennung und Blockierung.

Einige Botnetze umfassen Hunderttausende infizierte Hosts, wodurch Cyberkriminelle massive Brute‑Force‑Angriffe durchführen können, ohne blockiert zu werden.

Dank unseres Netzwerks sammeln wir Logs zentral, erkennen verdächtige Aktivitäten frühzeitig und können angreifende IP-Adressen schnell blockieren. So entsteht ein ständig aktualisierter Threat Intelligence Feed mit IPs, die auf mehreren Systemen auffällig wurden. Durch die Zusammenführung und kontinuierliche Einspeisung dieser Daten in unseren Threat Intelligence Feed werden IP-Adressen identifiziert, die gezielt die Infrastruktur attackieren, und automatisch abgewehrt.

Sophos Firewall Threat Feed Setup?

Die Integration unserer Sophos Firewall Threat Feeds ist unkompliziert und in wenigen Minuten erledigt. Alle Feeds sind vollständig kompatibel mit der Third-Party Threat Feed-Funktion der Sophos Firewall und können wie folgt über die Weboberfläche der Firewall hinzugefügt werden:

1. Menü öffnen Protect → Active threat response → Third-party threat feeds → Add
2. Grunddaten eintragen

• Name: cybora-premium-ipv4
• Description: Cybora Feed – Premium

1. Indikatortyp & Regeln festlegen

• Indicator type: IPv4 address, Domain oder URL
• Action: Block

1. Feed-URL hinterlegen

• Im Feld External URL die passende Adresse aus der Avanet-Feed-Liste einfügen.

1. Abrufintervall setzen

• Polling interval: 24 h (für die Free-Version) / 1 h (für Premium Version) Eine kürzere Zeilt hilft nicht, wir aktualisieren den Standard Feed nur alle 24h.

1. Authentifizierung konfigurieren (optional)

• Authorization: Keine

1. Verbindung testen & speichern

• Test connection ausführen → Save.

Für eine Schritt-für-Schritt-Anleitung zur Einrichtung, empfehlen wir die Sophos Dokumentation.