Naar de inhoud
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Met SFOS 22.0 MR1 heeft Sophos een nieuwe detectiefunctie naar de Sophos Firewall gebracht: NDR Active Threat Intelligence. De naam klinkt als nog een grote securitybouwsteen, maar technisch moet je de functie iets preciezer plaatsen. De firewall gebruikt detectiepatronen uit Taegis NDR. In de Sophos Community wordt iSensor daarbij genoemd als IPS-engine uit de Secureworks- respectievelijk Taegis-wereld, waarvan de patronen nu in SFOS terechtkomen. Het doel is niet in de eerste plaats om elke hit meteen hard te blokkeren, maar om verdachte activiteiten in het netwerk zichtbaar te maken en bruikbaar te maken voor XDR-, MDR- of SOC-analyses.

Dat is een belangrijk verschil. Veel admins denken bij firewall-security eerst aan blokkeren: IPS blokkeert, Web Protection blokkeert, DNS Protection blokkeert, Threat Feeds blokkeren. NDR Active Threat Intelligence werkt anders. De functie herkent potentieel schadelijke of verdachte traffic, schrijft events naar de logs en stuurt de gegevens door naar Sophos Data Lake. Daar kunnen ze in Sophos Central, in het Threat Analysis Center, voor Sophos XDR, Sophos MDR of een SOC verder worden onderzocht.

Vanuit mijn perspectief is dit een zinvolle aanvulling, maar geen magische vervanging voor een echt Detection-and-Response-concept. Wie de functie gewoon inschakelt en daarna nooit naar logs, detections of cases kijkt, wint weinig. Wie haar bewust integreert in firewallregels, TLS Inspection, reporting en incidentprocessen, krijgt extra signalen precies daar waar veel aanvallen zichtbaar worden: in het netwerkverkeer.

Wat NDR Active Threat Intelligence doet

NDR Active Threat Intelligence gebruikt high-signal detectiepatronen uit Taegis NDR. De Sophos Firewall controleert passende traffic op deze patronen, genereert Detection-events en stuurt ze door naar Sophos Data Lake. Sophos beschrijft de functie als detectie van potentieel schadelijke traffic en actieve aanvallers binnen het netwerk.

In de praktijk gaat het om situaties die voor klassieke preventie niet altijd duidelijk genoeg zijn, maar voor een onderzoek belangrijk worden:

  • een vertrouwd Windows-tool zoals certutil, dat wordt misbruikt voor verdachte downloads,
  • een gecompromitteerd systeem dat SSH-geschikte hosts scant, bijvoorbeeld in de context van NoaBot,
  • ongebruikelijke HTTP-traffic via een poort waarop eigenlijk DNS wordt verwacht,
  • uitgaande traffic die lijkt op data-exfiltratie of verborgen communicatie, bijvoorbeeld via de oude finger-tool.

Zulke signalen zijn niet altijd automatisch een bevestigde aanval. Precies daarom is de actie in de configuratie gericht op Log threats. De firewall verzamelt aanwijzingen, maakt ze zichtbaar en stelt ze beschikbaar voor correlatie. Als daar andere signalen bijkomen, bijvoorbeeld Endpoint-events, identity-aanwijzingen of verdere firewall-logs, kan daaruit een betrouwbare Detection of een Case ontstaan.

Waarom dit niet hetzelfde is als ATP of klassieke Threat Feeds

Een voor de hand liggende vraag is: is dit gewoon Advanced Threat Protection met een nieuwe naam? Eerder niet. In de Sophos Community werd de nieuwe firewallregeloptie treffend beschreven als nieuwe of verbeterde IPS-patterns, niet als klassieke ATP. Het verschil is belangrijk, omdat daarmee ook de verwachting van de functie duidelijker wordt.

Advanced Threat Protection en Sophos X-Ops Threat Feeds werken sterker reputatie- en indicatorgebaseerd. Het gaat om bekende kwaadaardige IP’s, domains, URL’s of Command-and-Control-indicatoren. Zulke feeds zijn zeer waardevol wanneer een doel of afzender al als schadelijk bekend is. Daarbij past ook de oudere bijdrage over Threat Intelligence Feeds voor de firewall.

NDR Active Threat Intelligence kijkt sterker naar verdachte verkeerspatronen. De traffic zelf levert aanwijzingen: ongebruikelijk protocolgebruik, verdachte downloads, Lateral-Movement-gedrag of communicatie die niet bij het verwachte gebruik past. Dat ligt dichter bij Network Detection and Response dan bij een pure blocklist.

Nog een tweede verschil is belangrijk: ATP is systeembreed bedoeld, NDR Active Threat Intelligence wordt aanvullend in de relevante firewallregels geactiveerd. Je beslist dus per regel of per traffic-pad welk verkeer met deze patronen moet worden geanalyseerd.

Vereisten en ondersteunde platformen

NDR Active Threat Intelligence is een functie voor Sophos Firewall 22.0 MR1. In de Release Notes wordt de functie vermeld voor versie 22.0 MR1 Build 490, die op 20 april 2026 werd gepubliceerd.

Voor gebruik zijn vooral deze punten relevant:

  • Er is een Sophos Firewall met Xstream Protection Bundle nodig.
  • XGS Series Firewalls worden ondersteund, inclusief Gen.1 en Gen.2, evenals virtuele, software- en cloud-deployments.
  • Ondersteund worden onder andere VMware, KVM, Hyper-V, Azure, AWS, XEN en Software-Appliances.
  • Niet ondersteund zijn XGS 88, XGS 88w, XGS 87 en XGS 87w.
  • Voor XDR-analyses is een Sophos-XDR-licentie nodig.
  • Voor MDR-analyses is MDR Essentials of MDR Complete nodig.
  • Voor Sophos-Central-Reporting moeten reports en logs naar Sophos Central worden verzonden.
  • De firewall moet in Sophos Central geregistreerd zijn als je de Central-weergaven wilt gebruiken.
  • Sophos Firewall Home Edition wordt volgens de Techvids-opmerking momenteel niet ondersteund.

Het punt met XGS 87 en XGS 88 is belangrijk, maar niet de enige operationele check. De kleinste desktopmodellen worden bij deze functie niet ondersteund, ook al kunnen ze verder actuele SFOS-versies gebruiken. Wie in kleine buitenlocaties of filialen met XGS 87, XGS 87w, XGS 88 of XGS 88w werkt, moet NDR Active Threat Intelligence niet als beschikbare beschermingsbouwsteen inplannen. Tegelijk is een aanwezige licentie alleen niet genoeg: Central-Reporting, Data-Lake-koppeling en IPS-Logging moeten netjes geactiveerd zijn, anders blijft de operationele waarde klein.

NDR Active Threat Intelligence, NDR Essentials of Sophos Central NDR?

De namen lijken op elkaar, maar betekenen niet hetzelfde. NDR Essentials is de flowfunctie dicht bij de firewall: Sophos Firewall verzamelt netwerkflows, de analyse gebeurt in de Sophos-cloud en er is geen aparte sensor-VM nodig. Dat is nuttig in omgevingen waar de firewall de relevante datastromen ziet en men zonder extra appliance wil starten.

NDR Active Threat Intelligence is het nieuwe onderdeel aan de firewallkant. Het gebruikt samengestelde Taegis/iSensor-patronen en wordt daarnaast in de relevante firewallregels geactiveerd. Het gaat niet om een aparte NDR-appliance, maar om detectie- en logging-signalen op traffic die de firewall daadwerkelijk verwerkt.

Sophos Central NDR is daarentegen het zelfstandige NDR-product met een dedicated virtuele sensor-VM. Deze sensor wordt meestal passief aangesloten via een SPAN-, Mirror- of TAP-port en kan daardoor ook intern oost-westverkeer, unmanaged apparaten, IoT/OT-systemen of niet-geautoriseerde assets zien die, afhankelijk van de architectuur, nooit via de firewall lopen. Kort gezegd: NDR Essentials en NDR Active Threat Intelligence verbreden de firewall-zichtbaarheid. Sophos Central NDR levert het bredere netwerkzicht via een eigen sensor-VM.

Waar je de functie activeert

De basisconfiguratie gebeurt op de Sophos Firewall onder:

Active Threat Response > NDR Essentials and Active Threat Intelligence

Het menu-item heette vroeger alleen NDR Essentials. Met SFOS 22.0 MR1 werd het uitgebreid en hernoemd naar NDR Essentials and Active Threat Intelligence, omdat daar nu beide gebieden zijn samengebracht.

Sophos Firewall NDR Essentials and Active Threat Intelligence activeren
NDR Essentials en NDR Active Threat Intelligence worden onder Active Threat Response geconfigureerd.

Daar wordt NDR Active Threat Intelligence geactiveerd en kies je een minimale severity. Sophos noemt vijf severity-niveaus:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

De selectie bepaalt welke patronen worden meegenomen. Als je Warning kiest, worden alle patronen van Critical tot Warning meegenomen. Als je Critical kiest, worden alleen kritieke patronen geanalyseerd. Dat klinkt banaal, maar is in de operatie belangrijk. Een te hoge drempel kan interessante vroege indicatoren verbergen. Een te lage drempel kan in grotere netwerken tot duidelijk meer events leiden.

Mijn aanbeveling: start niet blind met de gevoeligste instelling. Beter is een gedefinieerde pilot met enkele relevante regels, nette logging en daaropvolgende evaluatie. Daarna kun je beslissen of het severity-level past of dat je stapsgewijs breder uitrolt.

De volgende Sophos-demo toont de activering en de testprocedure compact in de firewall-GUI:

Firewallregels zijn doorslaggevend

Na het inschakelen herinnert de firewall eraan dat NDR Active Threat Intelligence ook in de passende firewallregels moet worden geactiveerd. Dat is een van de belangrijkste punten, omdat de functie anders niet op de gewenste traffic wordt toegepast.

In de regels vind je de instelling onder Rules and policies > Firewall rules. Binnen de betreffende regel scroll je naar de sectie Other security features.

Daar moet Scan with NDR Active Threat Intelligence worden geactiveerd. Deze stap moet worden uitgevoerd voor elke regel waarvan de traffic moet worden geanalyseerd. Dat betreft typisch regels voor gebruikers-internet-traffic, server-traffic, DMZ-verkeer of bepaalde interne communicatiepaden.

Sophos Firewall-regel met Scan with NDR Active Threat Intelligence
In de firewallregels moet Scan with NDR Active Threat Intelligence aanvullend worden geactiveerd.

In de Techvids-handleiding wordt daarnaast aangegeven dat Scan HTTP and decrypted HTTPS geactiveerd moet zijn en SSL/TLS Inspection Rules op Decrypt moeten staan wanneer ontsleutelde HTTPS-traffic moet worden gecontroleerd. Dat is logisch: hoe minder de firewall van de traffic ziet, hoe minder zinvol hij kan detecteren. Tegelijk is TLS Inspection altijd een operationeel project en geen klik tussendoor.

Kort gezegd: alleen de globale NDR Active Threat Intelligence-functie is niet genoeg. De regeloptie, HTTPS Scanning en SSL/TLS Inspection moeten op elkaar aansluiten, anders blijft de zichtbaarheid beperkt.

Niet alles in een keer inschakelen

Ik zou NDR Active Threat Intelligence niet meteen op elke regel en elke zone loslaten. Technisch kan dat in veel omgevingen misschien werken, maar operationeel is het zelden de beste start. Zinvoller is een uitrol in fases:

  1. Gebruiker-naar-internet-regels controleren.
  2. Server-naar-internet-regels controleren.
  3. DMZ- en gepubliceerde services controleren.
  4. Interne segmentatieregels met hoog risico controleren.
  5. Logs en Detections na enkele dagen evalueren.

Zo herken je vroeg of bepaalde applicaties opvallende patronen veroorzaken, of TLS Inspection netjes werkt en of de hoeveelheid events operationeel beheersbaar blijft.

Waar je de Detections ziet

Op de firewall zelf zijn er meerdere manieren om de Detections te bekijken. Direct in het gedeelte NDR Active Threat Intelligence toont een summary-widget het totale aantal detecties van de laatste zeven dagen en een verdeling naar severity.

Voor details kun je de NDR Active Threat Intelligence Logs openen. Sophos verwijst daarbij naar het logtype IPS. Als alternatief kun je in de Log Viewer filteren op categorie:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Daarnaast zijn evaluaties zichtbaar onder Reports > Network & Threat respectievelijk bij Intrusion-aanvallen.

In Sophos Central zijn er twee belangrijke perspectieven:

  • Firewall Management > Report Generator, daar met Report Template IPS
  • afhankelijk van XDR- of MDR-gebruik Threat Analysis Center > Detections en indien nodig Cases

Het eerste pad is beschreven in de Sophos-documentatie. Het tweede pad komt vooral uit de Techvids-demo en is interessant voor XDR- en MDR-omgevingen. Daar zie je ruwe gegevens zoals Device Serial ID, Source IP en Destination IP en kun je de firewall-detectie met andere signalen correleren.

Wat er bij een hit moet gebeuren

Een NDR-Active-Threat-Intelligence-hit is een onderzoekssignaal. Hij moet niet automatisch als afgehandeld gelden alleen omdat ergens een logvermelding bestaat. In een goed operationeel model zijn minimaal deze vragen beantwoord:

  • Wie bekijkt deze Detections regelmatig?
  • Vanaf welke severity wordt een ticket of Case aangemaakt?
  • Welke logs worden aanvullend gecontroleerd?
  • Is er een runbook-stap voor Source IP, Destination IP en getroffen gebruikers?
  • Wordt gecontroleerd of dezelfde host Endpoint-, DNS-, Web- of Identity-afwijkingen toont?
  • Is er een beslissing wanneer een apparaat wordt geïsoleerd of een firewallregel wordt aangepast?

Bijzonder belangrijk: als Sophos MDR wordt gebruikt, moet duidelijk zijn welke rol de MDR-analisten overnemen en welke acties intern moeten worden besloten. Als Sophos XDR zonder MDR wordt gebruikt, is er intern iemand nodig die deze Detections ook echt leest en beoordeelt.

Voorbeelden uit de praktijk

De spannendste voorbeelden zijn niet de luide aanvallen die elk IPS toch al herkent. Interessant zijn de stille signalen:

Living-off-the-Land

Wanneer een legitiem tool zoals certutil voor een verdachte download wordt gebruikt, ziet dat er op het eerste gezicht niet noodzakelijk uit als malware. Precies zulke Living-off-the-Land-technieken zijn populair in echte aanvallen, omdat ze bestaande besturingssysteemtools misbruiken en daardoor minder opvallen.

NDR Active Threat Intelligence kan zulke patronen zichtbaar maken. Dat betekent niet automatisch dat elke hit op een compromis wijst. Het betekent wel: deze host verdient aandacht.

Lateral Movement

Wanneer een geïnfecteerd systeem begint SSH-hosts te scannen, kan dat een aanwijzing zijn voor laterale beweging. Sophos noemt in de documentatie onder andere NoaBot als voorbeeld voor dit patroon. In gesegmenteerde omgevingen zou een client sowieso niet vrij alle servers of managementsystemen moeten kunnen bereiken. Als zulke pogingen zichtbaar worden, is dat niet alleen een Detection-thema, maar ook een aanwijzing over segmentatie.

Hier past de samenhang met de bijdrage Sophos NDR - blinde vlekken in het netwerk wegnemen: netwerkverkeer blijft een plek waar aanvallers sporen achterlaten, zelfs wanneer Endpoint-signalen onvolledig zijn.

Ongebruikelijk protocolgebruik

HTTP via een DNS-poort of uitgaande verbindingen die data-exfiltratie moeten verhullen, zijn typische voorbeelden van “dit is technisch mogelijk, maar operationeel verkeerd”. Sophos noemt bij data-exfiltratie onder andere traffic via finger als voorbeeld. Zulke patronen zijn zelden netjes met een enkele Allow-/Deny-regel te beoordelen. Als Detection-signaal zijn ze echter waardevol.

Wat de functie niet vervangt

NDR Active Threat Intelligence is een goede aanvullende sensor, maar geen vervanging voor fundamenteel securitywerk.

De functie vervangt niet:

  • nette firewallregels,
  • segmentatie tegen Lateral Movement,
  • TLS-Inspection-planning,
  • IPS-, Web- en DNS-Protection,
  • Endpoint Detection and Response,
  • Sophos MDR of een eigen SOC,
  • een SIEM met duidelijke Use Cases,
  • patch- en hotfix-processen,
  • regelmatige reviews van de firewallconfiguratie.

De functie vervangt ook niet automatisch Sophos Central NDR met een dedicated sensor-VM. Dat onderscheid is hierboven beschreven en moet vóór een architectuurbeslissing bewust worden beoordeeld.

Mijn beoordeling

Ik vind de functie interessant, omdat ze de kloof tussen klassieke firewallbescherming en Security Operations kleiner maakt. De firewall bevindt zich sowieso op een sterke positie in het netwerk. Als daar extra NDR-detectiepatronen draaien en de gegevens in Central, XDR of MDR zichtbaar worden, ontstaat echte meerwaarde.

Maar de waarde ontstaat niet alleen door het inschakelen. Ze ontstaat door drie dingen:

  • passende firewallregels,
  • voldoende zichtbaarheid in HTTP en ontsleuteld HTTPS,
  • een proces dat Detections evalueert.

Wie al Sophos Central, Sophos XDR of Sophos MDR gebruikt, zou NDR Active Threat Intelligence moeten controleren en in een gecontroleerde pilot activeren. Wie de firewall geïsoleerd gebruikt en geen Central-reports of Security-Operations-processen heeft, zou eerst de basis moeten leggen. Anders produceert de functie in het beste geval interessante logs waar niemand naar kijkt.

Mijn aanbeveling is daarom pragmatisch: begin met enkele relevante regels, controleer IPS-Logging, test de Central-koppeling en beslis daarna hoe breed je uitrolt. Voor gecontroleerde testevents zou ik me op de Techvids-demo oriënteren. In de Sophos Community werd vermeld dat dedicated NDR-Active-Threat-Intelligence-tests voor sophostest.com nog moeten worden toegevoegd.

Checklist voor admins

Direct controleren

  • Draait de firewall op SFOS 22.0 MR1 of nieuwer?
  • Is het Xstream Protection Bundle actief?
  • Is de firewall in Sophos Central geregistreerd?
  • Worden reports en logs naar Sophos Central verzonden?
  • Is IPS-Logging geactiveerd?
  • Zijn er relevante firewallregels waarop de functie kan worden getest?

Bij de uitrol opletten

  • NDR Active Threat Intelligence onder Active Threat Response activeren.
  • Severity-level bewust kiezen.
  • Scan with NDR Active Threat Intelligence per relevante firewallregel activeren.
  • HTTP-Scanning en ontsleuteld HTTPS alleen daar activeren waar het operationeel netjes gepland is.
  • SSL/TLS Inspection Rules controleren en uitzonderingen documenteren.
  • Detections op de firewall en in Sophos Central controleren.
  • Testevents gecontroleerd triggeren en documenteren.

In de operatie verduidelijken

  • Wie bekijkt Detections en Cases?
  • Welke severity genereert een ticket?
  • Welke hosts worden bij hits met prioriteit onderzocht?
  • Welke logs worden gecorreleerd?
  • Wanneer wordt een apparaat geïsoleerd?
  • Hoe worden False Positives gedocumenteerd?
  • Hoe vaak worden regels, severity en eventvolume gereviewd?

Conclusie

Sophos Firewall NDR Active Threat Intelligence is geen nieuw marketinglabel voor een bestaande blocklist. De functie brengt Taegis-NDR-detectiepatronen direct naar de Sophos Firewall en maakt verdachte netwerkactiviteiten beter zichtbaar. Dat is vooral interessant voor XDR-, MDR- en SOC-omgevingen, omdat firewall-signalen daardoor sterker in onderzoeken kunnen worden meegenomen.

De belangrijkste beperking blijft echter: het is primair Detection en Logging. Wie onmiddellijke blokkering verwacht, moet de functie correct plaatsen. Wie Security Operations serieus neemt, krijgt daarentegen een aanvullend signaal dat juist bij Living-off-the-Land, Lateral Movement en ongebruikelijk protocolgebruik nuttig kan zijn.

Voor productieomgevingen zou ik daarom starten met een korte pilot, een duidelijk logging- en caseproces en daarna een geplande uitrol naar de echt relevante regels. Dan kan NDR Active Threat Intelligence precies doen wat moderne firewalls vandaag moeten doen: niet alleen traffic toestaan of blokkeren, maar aanvallen eerder zichtbaar maken.

FAQ

Wat is Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence is een detectiefunctie in Sophos Firewall 22.0 MR1. De firewall gebruikt Taegis-NDR-detectiepatronen, herkent verdachte traffic, schrijft events naar de logs en stuurt ze door naar Sophos Data Lake.

Blokkeert NDR Active Threat Intelligence aanvallen automatisch?

De functie is primair gericht op Logging en Detection. De actie staat op Log threats. Hits dienen als onderzoekssignaal voor firewall-logs, Sophos Central, XDR, MDR of SOC-analyses.

Welke licentie is nodig?

Voor NDR Active Threat Intelligence is een Xstream Protection Bundle nodig. Voor verdere analyses in Sophos XDR of Sophos MDR zijn aanvullend de bijbehorende XDR- of MDR-licenties vereist.

Welke firewalls worden ondersteund?

Ondersteund worden XGS Series Firewalls inclusief Gen.1 en Gen.2, evenals virtuele, software- en cloud-deployments. Niet ondersteund zijn XGS 88, XGS 88w, XGS 87 en XGS 87w.

Waar activeer je de functie?

De basisfunctie wordt geactiveerd onder Active Threat Response > NDR Essentials and Active Threat Intelligence. Daarnaast moet in de relevante firewallregels Scan with NDR Active Threat Intelligence worden ingeschakeld.

Is NDR Active Threat Intelligence hetzelfde als Sophos NDR?

Nee. NDR Active Threat Intelligence brengt NDR-detectiepatronen naar de Sophos Firewall. Een dedicated Sophos-NDR-sensor is een aparte architectuur voor breder netwerkzicht, typisch via SPAN/TAP en Sophos Central.

Heb je met NDR Active Threat Intelligence nog Third-Party Threat Feeds nodig?

Ja, in veel omgevingen nog steeds. NDR Active Threat Intelligence herkent verdachte verkeerspatronen en levert Detection-signalen. Third-Party Threat Feeds zoals Cybora leveren daarentegen concrete indicatoren zoals kwaadaardige IP’s, domains of URL’s die de firewall actief kan blokkeren. Beide vullen elkaar aan: NDR helpt bij het herkennen van verdachte patronen, Threat Feeds verminderen bekende schadelijke traffic al aan de netwerkgrens.

Waar zie je de Detections?

Detections zie je op de firewall in het NDR-Active-Threat-Intelligence-gedeelte, in de Log Viewer, in Reports > Network & Threat en in Sophos Central Firewall Reporting. In XDR- of MDR-omgevingen kunnen ze daarnaast in het Threat Analysis Center onder Detections of Cases verschijnen.

Bronnen

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.