Naar de inhoud
Avanet

Sophos Firewall NDR en Active Threat Response beheren

Sophos Firewall

Sophos Firewall kan met NDR Essentials en NDR Active Threat Intelligence extra aanwijzingen geven over verdacht netwerkverkeer. Dit is nuttig wanneer men aanvallen niet alleen wil blokkeren, maar ook wil detecteren, onderzoeken en verder verwerken in Sophos Central, XDR, MDR of een SIEM.

Belangrijk is de verwachting: NDR op de firewall is geen magische knop die elk probleem automatisch oplost. De functie vereist passende licenties, zichtbaar verkeer, geactiveerde logtypen, bewust gekozen firewallregels en een proces dat treffers evalueert. Zonder dit operationele deel ontstaan er alleen extra logs.

Voor klassieke Indicators of Compromise zoals kwaadaardige IP-adressen, domeinen of URL’s is het eerst passend om Sophos Firewall Threat Feeds in te stellen en veilig te beheren. Dit artikel richt zich op NDR Essentials, NDR Active Threat Intelligence en de operationele evaluatie.

De termen duidelijk scheiden

Sophos gebruikt meerdere vergelijkbare namen. Voor beheerders is het belangrijk om onderscheid te maken, omdat elke functie anders werkt.

FunctieWat gebeurt erTypisch nut
NDR EssentialsDe firewall analyseert geselecteerde flow-gegevens en herkent IoC’s zoals IP-adressen of domeinen.Netwerkgebaseerde aanwijzingen zonder aparte sensor-VM.
NDR Active Threat IntelligenceDe firewall gebruikt gecureerde Taegis-NDR-patronen, herkent verdacht verkeer, logt gebeurtenissen en stuurt ze naar de Sophos Data Lake.Hoogsignaaldetectie voor XDR, MDR of Security Operations.
Sophos Central NDRApart NDR-product met eigen sensor-VM, typisch via SPAN, Mirror of TAP.Breder zicht op Oost-West-verkeer, onbeheerde apparaten en interne netwerkbewegingen.
Threat FeedsIoC-lijsten zoals IP’s, domeinen of URL’s worden tegen verkeer gecontroleerd.Bekende schadelijke doelen of bronnen blokkeren of monitoren.

NDR Essentials en NDR Active Threat Intelligence breiden dus het zicht van de firewall uit. Sophos Central NDR is een eigen architectuur met een aparte sensor. Third-Party Threat Feeds zijn weer een ander onderdeel: deze werken op basis van indicatoren en kunnen afhankelijk van de actie direct blokkeren.

Wanneer het gebruik zinvol is

NDR en Active Threat Response zijn vooral nuttig wanneer een firewall niet alleen als pakketfilter wordt gebruikt, maar deel uitmaakt van een detectie- en responsproces.

Typische scenario’s:

  • Internetverkeer van clients moet worden gecontroleerd op verdachte doelen of patronen.
  • Servers of DMZ-systemen moeten extra detectiesignalen leveren.
  • XDR, MDR of SOC moeten firewallgebeurtenissen in onderzoeken betrekken.
  • Meerdere firewalls moeten centraal in Sophos Central of een SIEM worden geëvalueerd.
  • Er is al een proces voor alarmen, tickets, false positives en escalatie.

Minder zinvol is het gebruik wanneer niemand de gebeurtenissen controleert, geen logs worden doorgestuurd of de relevante firewallregels niet worden aangepast. Dan is eerst Central Firewall Reporting of Sophos Firewall Syslog naar SIEM sturen belangrijker.

Vereisten

Voor de activering moeten deze punten worden gecontroleerd:

  • De firewall draait op een ondersteunde SFOS-versie.
  • Het Xstream Protection Bundle is actief.
  • De firewall is geregistreerd in Sophos Central als Central Reporting, XDR of MDR moet worden gebruikt.
  • Send reports and logs to Sophos Central is actief als detecties zichtbaar moeten zijn in Sophos Central.
  • De relevante logtypen zijn geactiveerd onder System services > Log settings.
  • Voor NDR Active Threat Intelligence is IPS-logging actief.
  • Voor NDR Essentials is Active-Threat-Response-logging actief.
  • Er is een gedefinieerde eigenaar voor controle, tuning, uitzonderingen en escalatie.

Voor de activering moeten de platformgrenzen worden gecontroleerd. NDR Essentials ondersteunt geen Active-Active-HA-implementatie. NDR Active Threat Intelligence wordt niet ondersteund op XGS 87, XGS 87w, XGS 88 en XGS 88w. In HA-omgevingen moet men daarom eerst Sophos Firewall HA Cluster Varianten begrijpen controleren.

NDR Essentials configureren

NDR Essentials wordt geconfigureerd in het gebied Protect > Active threat response of Active Threat Response > NDR Essentials and Active Threat Intelligence. De exacte benaming hangt af van de SFOS-stand.

Basisstappen:

  1. NDR Essentials activeren.
  2. Relevante interfaces toevoegen.
  3. Datacenterlocatie voor de analyse kiezen.
  4. Minimum threat score bewust instellen.
  5. Actie controleren. NDR Essentials herkent en logt eerst.
  6. System services > Log settings openen.
  7. Logging voor Active threat response activeren.
  8. Opslaan en na enkele minuten Log Viewer, Reports of Central controleren.

Bij de interfaces moet men niet willekeurig alles selecteren. Zinvol zijn interfaces waarover relevant client-, server- of DMZ-verkeer loopt. WAN-interfaces zijn niet de juiste plek voor deze NDR-evaluatie; de planning moet zich richten op LAN-, DMZ- en aangepaste zones. Niet-ondersteunde interface-typen zoals RED- of XFRM-interfaces moeten ook vóór de uitrol worden overwogen.

Als er geen interfaces worden geselecteerd, herkent NDR Essentials geen nieuwe IoC’s uit het verkeer. De firewall kan echter nog steeds werken met al herkende IoC’s. Dit is in de praktijk gemakkelijk over het hoofd te zien.

NDR Active Threat Intelligence configureren

NDR Active Threat Intelligence maakt gebruik van gecureerde Taegis-NDR-detectiepatronen. De firewall herkent en logt passende gebeurtenissen en stuurt ze door naar de Sophos Data Lake. Deze signalen kunnen vervolgens in Sophos Central, XDR, MDR of een SOC-context worden onderzocht.

Basisstappen:

  1. Active Threat Response > NDR Essentials and Active Threat Intelligence openen.
  2. NDR Active threat intelligence activeren.
  3. Minimum severity level kiezen.
  4. Actie controleren. De actie staat op Log threats.
  5. System services > Log settings openen.
  6. IPS-logging activeren.
  7. Opslaan.
  8. Daarna de relevante firewallregels openen.
  9. Onder Other security features de optie Scan with NDR Active threat intelligence activeren.
  10. Wijzigingen opslaan en met gedefinieerd verkeer valideren.

De laatste stap is cruciaal. De globale activering alleen is niet voldoende. NDR Active Threat Intelligence moet in elke firewallregel worden geactiveerd waarvan het verkeer moet worden geanalyseerd.

Welke regels men eerst kiest

Een goede uitrol begint niet met alle regels tegelijk. Beter is een gecontroleerde pilot met goed begrijpelijk verkeer.

Zinvolle startpunten:

  • Clientnetwerken met internettoegang.
  • Servernetwerken met uitgaande internettoegang.
  • DMZ-regels met gepubliceerde diensten.
  • Regels voor bijzonder kritieke interne segmenten.
  • Regels met al geactiveerd IPS-, Web- of TLS-Inspectieconcept.

Regels zonder duidelijk logging, zonder eigenaar of met zeer breed ongeclassificeerd verkeer zijn geen goed startpunt. Daar moet eerst de regelbasis worden opgeschoond. Voor regelanalyse en matching past Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.

Zichtbaarheid en TLS Inspectie

NDR-signalen zijn alleen zo goed als de zichtbaarheid van de firewall. Als verkeer versleuteld is en de firewall alleen doel-IP of SNI ziet, blijven sommige patronen onzichtbaar. Als Web- of TLS-Inspectie goed gepland is, kan de firewall meer context controleren.

Dit betekent niet dat men TLS Inspectie overal meteen moet activeren. TLS Inspectie is een eigen operationeel project met certificaten, uitzonderingen, privacy, prestaties en ondersteuningsinspanning. Voor een geplande uitrol past Sophos Firewall TLS Inspectie correct introduceren.

Ook QUIC en HTTP/3 kunnen Web- en Inspectieconcepten beïnvloeden. Als browserverkeer langs klassieke HTTPS-Inspectiepaden loopt, moet Sophos Firewall QUIC en HTTP/3 correct blokkeren worden gecontroleerd.

Logs en evaluatie

Zonder logevaluatie is NDR nauwelijks nuttig. Afhankelijk van de functie zijn verschillende loggebieden relevant.

GebiedWaar controleren
NDR EssentialsActive threat response Logs, Threat indicators, Central Reporting of SIEM
NDR Active Threat IntelligenceIPS-logs, Log Viewer Filter Category is NDR Active threat intelligence, Central Firewall Reporting
XDR/MDR-evaluatieSophos Central Threat Analysis Center, Detections of Cases
LangetermijncorrelatieSyslog, SIEM, SOC- of MDR-platform

Voor Sophos Central moet de firewall logs en rapporten naar Central sturen. De procedure staat in Sophos Firewall Central Reporting activeren en beheren. Voor een eigen SIEM moet het juiste logtype via Syslog worden doorgestuurd en in het doelsysteem worden geparsed. Alleen het activeren van de functie bewijst dus nog niet dat detecties later vindbaar zijn.

Controlepunten na de activering:

  • Verschijnen lokale logvermeldingen in de Log Viewer?
  • Worden Active-Threat-Response- of IPS-logs naar Central gestuurd?
  • Komen de logs in het SIEM aan?
  • Worden velden zoals Source, Destination, Firewall, Rule ID en Categorie correct herkend?
  • Is er een dashboard of een zoekopdracht voor NDR-/ATR-treffers?
  • Is het duidelijk wie treffers beoordeelt?

Wat er moet gebeuren bij een treffer

Een treffer is eerst een onderzoekssignaal. Niet elke treffer is automatisch een bevestigde aanval, maar elke relevante treffer vereist een procedure.

Minimale procedure:

  1. Bron-IP, Doel-IP, gebruiker, regel en tijd vastleggen.
  2. In de Log Viewer controleren welke regel en welk module betrokken waren.
  3. In Central, XDR, MDR of SIEM zoeken naar verdere gebeurtenissen van dezelfde host.
  4. Endpoint-, DNS-, Web- en authenticatielogs correleren.
  5. Beslissen of isolatie, firewall-blokkering, Threat-Feed-uitzondering of verdere analyse nodig is.
  6. Resultaat documenteren.

Bij herhaalde false positives moet niet meteen een brede uitzondering worden ingesteld. Beter is een nauwe uitzondering met reden, ticket en herzieningsdatum. Uitzonderingen in Active Threat Response kunnen de beschermingswerking verwijderen en behoren daarom tot een gecontroleerd proces.

Typische fouten

  • NDR Active Threat Intelligence wordt globaal geactiveerd, maar niet in de firewallregels ingeschakeld.
  • NDR Essentials wordt geactiveerd, maar er worden geen passende interfaces geselecteerd.
  • IPS- of Active-Threat-Response-logging is niet actief.
  • Central Reporting of Syslog is niet ingesteld, hoewel centrale evaluatie wordt verwacht.
  • Detecties worden gegenereerd, maar niemand controleert ze.
  • Severity of Threat Score wordt te gevoelig ingesteld en veroorzaakt onnodige ruis.
  • Uitzonderingen worden te breed ingesteld.
  • Active-Active HA of kleine XGS-modellen worden gepland, hoewel de functie daar niet wordt ondersteund.
  • TLS Inspectie wordt als bijzaak behandeld, in plaats van goed gepland te worden.

Checklist

  • SFOS-versie en licentie gecontroleerd.
  • Ondersteunde appliance of platform bevestigd.
  • HA-modus gecontroleerd.
  • Sophos Central registratie gecontroleerd, als Central Reporting, XDR of MDR wordt gebruikt.
  • Relevante logtypen onder System services > Log settings geactiveerd.
  • NDR Essentials interfaces bewust geselecteerd.
  • Datacenterlocatie en Minimum threat score gedocumenteerd.
  • NDR Active Threat Intelligence geactiveerd.
  • Relevante firewallregels met Scan with NDR Active threat intelligence voorzien.
  • Log Viewer, Central Reporting of SIEM op treffers gecontroleerd.
  • Eigenaar, alarmering, false-positive-proces en herzieningsinterval gedocumenteerd.

Veelgestelde vragen

Is NDR Essentials hetzelfde als NDR Active Threat Intelligence?

Nee. NDR Essentials analyseert geselecteerde firewall-verkeersstromen en herkent IoC’s zoals IP-adressen of domeinen. NDR Active Threat Intelligence gebruikt gecureerde Taegis-NDR-patronen, logt verdachte gebeurtenissen en stuurt ze naar de Sophos Data Lake.

Blokkeert NDR Active Threat Intelligence automatisch?

De functie is primair gericht op detectie en logging. De actie staat op Log threats. Treffers moeten in logs, Central, XDR, MDR of SIEM worden geëvalueerd en daarna operationeel worden behandeld.

Waarom ziet men geen NDR Active Threat Intelligence treffers?

Vaak is de functie wel globaal actief, maar niet in de passende firewallregels ingeschakeld. Daarnaast moet IPS-logging actief zijn en moet het betreffende verkeer door een regel lopen waarin Scan with NDR Active threat intelligence is geactiveerd.

Heeft men ondanks NDR nog Third-Party Threat Feeds nodig?

Ja, in veel omgevingen vullen de functies elkaar aan. NDR levert detectiesignalen en patroonherkenning. Third-Party Threat Feeds kunnen bekende kwaadaardige IP’s, domeinen of URL’s op basis van externe lijsten monitoren of blokkeren.

Vervangt Firewall-NDR een SIEM of MDR?

Nee. Firewall-NDR levert extra signalen. Voor langdurige correlatie, alarmering, casebehandeling en incidentrespons zijn nog steeds Central Reporting, XDR, MDR, SIEM of een duidelijk intern proces nodig.