Naar de inhoud
Avanet

Sophos Firewall Threat Feeds instellen en veilig beheren

De Sophos Firewall Threat Feeds van Cybora leveren continue Threat Intelligence Feeds die Indicators of Compromise (IoCs) automatisch in de Sophos Firewall importeren. Zulke IoCs zijn bijvoorbeeld kwaadaardige IP-adressen, malwaredomains, phishing-URL’s of bekende Botnet-C&C-servers.

Voor de bredere hardening-context past de hub Sophos Firewall Hardening: best practices voor een veilige configuratie.

Daardoor valt een groot deel van het handmatige onderhoud weg. In plaats van afzonderlijke aanvallers-IP’s of domains handmatig in hostobjecten, firewallregels of blocklists bij te werken, haalt de firewall de gegevens automatisch uit een gecureerde feed en kan hij passend traffic blokkeren.

Dat is vooral waardevol zodra een firewall van buitenaf zichtbaar is. Publieke IP’s, DNAT-regels, WAF-publicaties, VPN-portalen of WebAdmin-toegang worden vaak zeer snel gevonden door bots, scanners en geautomatiseerde exploitframeworks. Een goede Threat Feed vermindert dit ongewenste traffic voordat het dieper in de omgeving terechtkomt.

Kort gezegd: Threat Feeds zijn sterk wanneer ze als operationeel proces worden begrepen. Feed kiezen, Indicator type correct zetten, eerst zichtbaar testen, daarna blokkeren, treffers regelmatig controleren en False Positives netjes behandelen. Alleen een grote lijst koppelen is geen goede securitystrategie.

Inleiding

Wat Threat Feeds zijn

Threat Feeds of bedreigingsfeeds zijn lijsten met indicatoren voor compromittering. In de praktijk zijn dat aanwijzingen voor bekende schadelijke infrastructuur:

  • IP-adressen: Scanners, botnets, gecompromitteerde systemen of Command-and-Control-servers.
  • Domains: Malware-, phishing- of C2-domains.
  • URL’s: Concrete kwaadaardige paden of downloadlinks.

Deze feeds komen afhankelijk van de aanbieder uit securityorganisaties, brancheconsortia, open-source communities, commerciele Threat Intelligence, honeypots of eigen sensoren. In Sophos Firewall v21 is de functie uitgebreid met third-party feeds die via het Active Threat Response Framework worden gekoppeld.

De voordelen zijn duidelijk:

  • Proactieve bescherming: Bedreigingen blokkeren voordat schade ontstaat.
  • Flexibiliteit: Feeds van verschillende aanbieders gebruiken, afgestemd op individuele eisen.
  • Automatisering: De firewall blokkeert automatisch; handmatige ingrepen vervallen.
  • Ontlasting: Ongewenst traffic wordt eerder verworpen en bereikt interne diensten helemaal niet.

Threat-Feed-modules niet vermengen

Onder Active threat response staan meerdere functies naast elkaar. De namen klinken vergelijkbaar, maar lossen verschillende taken op.

  • Sophos X-Ops Threat Feeds: Sophos-eigen indicatoren voor bekende bedreigingen. In beheer Network-Protection-functie activeren en logs controleren.
  • MDR Threat Feeds: Bedreigingsinformatie uit Sophos MDR/XDR-context. In beheer MDR-/Central-proces en firewall-logging verbinden.
  • Third-Party Threat Feeds: Externe IoC-lijsten zoals Cybora als IP-, Domain- of URL-feed. In beheer feedkwaliteit, actie, synchronisatie en uitzonderingen verantwoordelijk behandelen.
  • NDR Essentials / NDR Active Threat Intelligence: Detectie van verdachte trafficpatronen in plaats van een pure IoC-lijst. In beheer detectionsignalen evalueren en niet verwarren met een blocklist.

Dit artikel behandelt vooral Third-Party Threat Feeds. Voor NDR en Active Threat Intelligence past Sophos Firewall NDR en Active Threat Response beheren.

Typische toepassingsgebieden

Threat Feeds zijn niet alleen interessant voor uitgaand clienttraffic. Juist bij publiek bereikbare diensten ziet men in de praktijk zeer snel geautomatiseerde toegangspogingen.

  • DNAT naar interne servers: Port-forwardings worden snel gescand. Een IPv4-feed kan bekende slechte bronnen blokkeren voordat ze de interne server bereiken.
  • WAF-publicaties: Webservers zien vaak bottraffic, CVE-scans, CMS-probes en Credential-Stuffing. Threat Feeds vullen WAF-regels aan met reputatie.
  • VPN Portal, User Portal en WebAdmin: Portalen moeten eerst via Device Access, MFA en bronnetwerken worden beschermd. Threat Feeds verminderen daarnaast bekende aanvallersbronnen.
  • Uitgaand clienttraffic: Domain- en URL-feeds kunnen bekende malware-, phishing- of C2-doelen blokkeren.
  • Sterk gescande WAN-adressen: Als een publiek IP blijvend bottraffic ziet, kan een goede IPv4-feed firewall en logs merkbaar ontlasten.

Sinds SFOS 22 zijn Threat Feeds bijzonder interessant voor inkomend, doorgestuurd traffic zoals DNAT en WAF. De firewall kan bekende slechte bronnen daardoor ook voor gepubliceerde diensten herkennen. Bij oudere installaties of gemengde standen moet men dit punt bewust controleren voordat men hetzelfde beschermingsniveau aanneemt.

Threat Feeds vervangen echter geen nette publicatie. Als een dienst via DNAT of WAF bereikbaar is, moeten nog steeds alleen noodzakelijke poorten openstaan, bronnetwerken of landen worden beperkt, IPS/WAF-regels geactiveerd en logs gecontroleerd worden. Threat Feeds zijn een extra beschermingslaag, geen vrijbrief voor brede Any-regels.

Vereisten en licentie

Om Third-Party Threat Feeds te gebruiken, is op Sophos Firewall het Xstream Protection Bundle nodig. Voor deze module zijn geen extra Sophos Central-licenties nodig. Andere Threat Feed-modules hebben eigen vereisten: Sophos X-Ops Threat Feeds vereist Network Protection, MDR Threat Feeds vereist daarnaast Sophos MDR Essentials of MDR Complete in Sophos Central en NDR Essentials vereist het Xstream Appliance Bundle.

Daarnaast moet men vóór de rollout controleren:

  • De firewall draait op een SFOS-versie met support voor Third-Party Threat Feeds.
  • De firewall kan de feed-URL via DNS en HTTPS bereiken.
  • Per feed wordt een duidelijk Indicator type gebruikt, bijvoorbeeld IPv4 address, Domain of URL.
  • De feed is een platte tekstfile met één indicator per regel.
  • IP-ranges, IPv6-adressen, netwerkadressen, wildcarddomains en reguliere expressies zijn niet het juiste formaat voor Third-Party Threat Feeds.
  • Logging voor Active Threat Response is geactiveerd.
  • Het is duidelijk of de feed eerst alleen wordt gemonitord of direct wordt geblokkeerd.

Praktische aanbeveling: introduceer nieuwe feeds gecontroleerd. Als de firewall het toelaat, start men met een observatiefase, controleert men treffers in de Log Viewer en schakelt daarna over naar blokkeren. Zo ziet men vroeg of legitieme systemen geraakt zouden worden.

URL-feeds en TLS Inspection

IP- en Domain-feeds zijn meestal eenvoudig te begrijpen. URL-feeds zijn veeleisender, omdat de firewall het relevante URL-pad moet zien. Bij HTTPS-traffic is dat zonder passende decryptie niet altijd mogelijk.

Als URL-feeds productief worden gebruikt, moet men daarom controleren of Web Proxy, DPI Engine en TLS Inspection bij de omgeving passen. Zonder goede zichtbaarheid in HTTPS-traffic kan een URL-feed minder effectief zijn dan verwacht.

Voor domain- en URL-feeds is de feedconfiguratie alleen niet altijd genoeg. De firewall heeft een passende firewallregel nodig voor het verkeer en afhankelijk van het verkeer Application Classification of een IPS-policy. Voor volledige URL-paden via HTTPS is bovendien Web Proxy-decryptie of DPI met een passende SSL/TLS inspection rule nodig. Als een feed geen hits lijkt te produceren, controleer dan niet alleen de feed-URL, maar ook firewallregel, inspection-pad en exclusions.

Planning voor de rollout

Monitor of Block?

Een Threat Feed kan afhankelijk van SFOS-versie en configuratie monitoren of blokkeren. Voor productieve security is blokkeren vaak het doel, maar niet elke feed moet blind meteen in blockmodus.

  • Monitor: Treffers zichtbaar maken zonder traffic direct te blokkeren. Daarbij logvolume, getroffen bronnen/doelen en onverwachte treffers controleren.
  • Block: Bekende kwaadaardige indicatoren actief stoppen. Daarbij False-Positive-proces, alarmering en uitzonderingen voorbereiden.
  • Review: Effectiviteit en neveneffecten controleren. Daarbij feedkwaliteit, oude treffers, supportcases en bedrijfsrisico beoordelen.

Bij sterk blootgestelde diensten kan een goed gecureerde IPv4-feed direct veel ruis verminderen. Bij Domain- of URL-feeds moet men voorzichtiger zijn, omdat legitieme diensten vaker gedeelde infrastructuur, CDNs of redirects gebruiken.

Sophos evalueert Block- en Monitor-feeds in de weergegeven volgorde. De eerste passende hit in beide feedtypen wordt gelogd; blokkering gebeurt op basis van de eerste hit in de Block-lijst. De volgorde is dus praktisch relevant: een goed gecureerde productieve Block-feed hoort niet tussen testfeeds, tijdelijke incidentlijsten en experimentele bronnen te staan.

Feedvolgorde en positie

Bij het toevoegen van een Third-Party-feed kan men de feedpositie vastleggen. Dat lijkt klein, maar helpt in beheer: kritieke, goed gecureerde feeds moeten duidelijk benoemd en geordend zijn. Testfeeds, tijdelijke feeds of bronnen met hoger False-Positive-risico horen niet verborgen te staan tussen productieve feeds.

Praktische naamconventie:

  • Productieve IPv4-blockfeed: cybora-premium-ipv4-block
  • Domain-feed in Monitor-modus: cybora-standard-domain-monitor
  • Tijdelijke incidentfeed: incident-2026-06-c2-ipv4

Een goede naam toont aanbieder, plan of doel, Indicator type en actie. Dat bespaart tijd in de Log Viewer en bij latere reviews.

Synchronisatie en Storage Quota

Sophos Firewall toont bij Third-Party Threat Feeds actieve feeds, totaal aantal Threat Indicators, Storage Quota en synchronisatiestatus. Deze waarden mogen na de inrichting niet worden genegeerd.

Belangrijke controles:

  • Sync status: Success, Fetching of Disabled zijn snel in te delen. Bij Authentication error, Connection error, Storage full, SSL/TLS error of Failed moet oorzaak en feed gericht worden gecontroleerd.
  • Last updated: Tijdstempel past bij het verwachte polling interval.
  • Storage quota: De firewall heeft nog genoeg ruimte voor de geladen IoCs.
  • Threat indicators: Aantal past grofweg bij de verwachting van de aanbieder.
  • Synchronize now: Handmatige synchronisatie werkt wanneer een wijziging niet op het volgende polling interval moet wachten.

Als de Storage Quota vol is, ligt dat niet automatisch aan de feedaanbieder. Kleine appliances hebben minder ruimte dan grotere modellen. De firewall blijft IoCs op het geconfigureerde interval ophalen en werkt de lijst bij zodra er weer ruimte beschikbaar is. Toch moet feedomvang, Indicator types en prioriteit worden gecontroleerd in plaats van steeds meer lijsten te koppelen.

Bij kleinere XGS-modellen kan ook het polling interval beperkt zijn. Volgens Sophos ondersteunen XGS 87/87w, 88/88w en 107/107w voor Third-Party Threat Feeds alleen 24h, 7d en 30d als Polling interval-opties. Als een geboekte feed vaker wordt bijgewerkt, moet dit platformverschil worden meegenomen in de verwachting rond actualiteit en blokkeerwerking.

Bij kleinere XGS-modellen kan ook het polling interval beperkt zijn. Volgens Sophos ondersteunen XGS 87/87w, 88/88w en 107/107w voor Third-Party Threat Feeds alleen 24h, 7d en 30d als Polling interval-opties. Als een geboekte feed vaker wordt bijgewerkt, moet dit platformverschil worden meegenomen in de verwachting rond actualiteit en blokkeerwerking.

Van Free tot Ultimate Threat Feed - by Cybora

Betrouwbare en actuele bedreigingsinformatie is beslissend. Avanet gebruikt daarom gecureerde Threat-Feed-plannen van Cybora die speciaal geschikt zijn voor gebruik op Sophos Firewalls.

De feeds worden uit verschillende bronnen samengesteld om een zo brede en betrouwbare bedreigingsdetectie mogelijk te maken. Daarbij horen community- en OSINT-data, commercieel ingekochte informatie, resultaten uit honeypots en geanonimiseerde aanvals-, fout- en anomalielogs uit echte Sophos-Firewall-omgevingen.

Free (Basic) is geschikt voor Home User, PoC en compatibiliteitstests. Standard vult de IPv4-feed aan met belangrijke malware- en phishing-domains. Premium breidt de dekking uit met domains en URL’s met updates per uur. Ultimate is bedoeld voor kritieke infrastructuur en High-Risk-Perimeters met updates om de 15 minuten.

Met Sophos Firewall Threat Feeds kan bekende schadelijke infrastructuur eerder worden uitgefilterd. Afhankelijk van de omgeving volstaat het gratis Basic-plan voor tests, terwijl Standard, Premium en Ultimate bedoeld zijn voor productieve eisen met toenemende dekking en actualiteit.

Cybora past vooral wanneer een concrete, koopbare feed voor Sophos Firewall nodig is en men niet zelf meerdere OSINT-lijsten wil verzamelen, formatteren, controleren en beheren. De praktische waarde zit minder in de grootste lijst, maar in gecureerde indicatoren, duidelijke feedplannen en een beheerpad dat past bij de Third-Party Threat Feed-functie van Sophos Firewall.

Threat Feeds vergelijken

Free / Basic

Free (Basic)

$0/per jaar

  • Update-interval: elke 24 h
  • IPv4: 20,000 IPv4
  • Support: Geen support
Kiezen

Basisbescherming

Standard

$179/per jaar

  • Update-interval: elke 6 h
  • IPv4: 85,000 IPv4
  • Domeinen: Top 5,000 domeinen
  • Support: Standaard
Kiezen

Geavanceerde bescherming

Premium

$349/per jaar

  • Update-interval: elk uur
  • IPv4: 220,000 IPv4
  • Domeinen: 45,000 Domeinen
  • URLs: 25,000 URLs
  • Support: Prioriteit
Kiezen

Missiekritieke bescherming

Ultimate

$1,999/per jaar

  • Update-interval: elke 15 min
  • IPv4: 300,000+ IPv4
  • Domeinen: 100,000+ Domeinen
  • URLs: 100,000 URLs
  • Support: Zeer hoog
Kiezen

Let bij de vergelijking niet alleen op het aantal vermeldingen. Een enorme lijst is niet automatisch beter als die veel False Positives veroorzaakt of slecht wordt onderhouden. Beslissend is dat de feed actueel, gecureerd en voor de firewall goed bruikbaar is.

Belangrijke criteria:

  • Actualiteit van de data
  • ondersteunde Indicator types
  • kwaliteit en curatie van de bronnen
  • update-interval
  • False-Positive-risico
  • traceerbaarheid in de Log Viewer
  • zinvol uitzonderingsproces

Avanet Firewall Network

Een deel van de Premium Feed bestaat uit gegevens uit een gedistribueerd firewallnetwerk. Deze blik is vooral interessant bij aanvalspatronen die op een enkele firewall nauwelijks opvallen.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Veel tools herkennen Brute-Force-aanvallen van afzonderlijke IP-adressen zonder problemen, maar falen bij gedistribueerde aanvallen via botnets. In zulke gevallen voert elke door de aanvaller gecontroleerde host slechts enkele mislukte loginpogingen met lage frequentie uit en ontwijkt zo detectie en blokkering.

Sommige botnets bestaan uit honderdduizenden geinfecteerde hosts, waardoor cybercriminelen massale Brute-Force-aanvallen kunnen uitvoeren zonder geblokkeerd te worden.

Uit zulke patronen ontstaat een voortdurend bijgewerkte Threat Intelligence Feed met IP’s die op meerdere systemen opvielen. Door deze gegevens samen te voegen en continu in de Threat Intelligence Feed op te nemen, worden IP-adressen herkend die gericht infrastructuur aanvallen en automatisch afgeweerd.

Wat Threat Feeds niet vervangen

Threat Feeds zijn sterk, maar ze vervangen geen nette firewallbasis.

Niet vervangen worden:

  • restrictieve firewallregels
  • MFA voor VPN, portalen en admin-toegang
  • Device Access en Local Service ACL, zoals beschreven in Sophos Firewall-toegang beveiligen
  • IPS, WAF, Web Protection en TLS Inspection
  • patchmanagement en Hotfixes
  • logging, reporting en regelmatige controle

Als bijvoorbeeld een webserver via DNAT wordt gepubliceerd, moet de firewallregel nog steeds zo smal mogelijke bronnen, concrete services en geactiveerde logging hebben. Een Threat Feed blokkeert bekende slechte bronnen, maar onbekende of nieuwe aanvallers kunnen nog steeds aankomen.

Sophos Firewall Threat Feed instellen

De integratie van Cybora Threat Feeds is eenvoudig en in enkele minuten klaar. Alle feeds zijn volledig compatibel met de Third-Party-Threat-Feed-functie van de Sophos Firewall en kunnen als volgt via de webinterface van de firewall worden toegevoegd:

  1. Menu openen: Protect > Active threat response > Third-party threat feeds > Add
  2. Basisgegevens invullen
    • Name: cybora-premium-ipv4
    • Description: Cybora Feed - Premium
  3. Indicator type vastleggen
    • Indicator type: IPv4 address, Domain of URL
    • Maak per indicator type een aparte feed aan als dezelfde bron IPs, domains en URLs aanbiedt.
  4. Actie kiezen
    • Voor productief blokkeren: Block.
    • Voor een voorzichtige start: Monitor of observerende actie kiezen, als beschikbaar en zinvol.
  5. Feed-URL vastleggen
    • In het veld External URL het passende adres uit de Avanet-feedlijst invoegen.
    • De URL moet een tekstfile leveren met één indicator per regel.
  6. Ophaalinterval instellen
    • Polling interval: passend bij de geboekte feed kiezen.
    • Een kortere tijd helpt niet wanneer de feed zelf alleen in een langer interval wordt bijgewerkt.
  7. Authenticatie configureren (indien nodig)
    • Afhankelijk van de feed zonder authenticatie, met API key of met Basic Authentication.
    • Toegangsgegevens en feed keys niet tonen in tickets, screenshots of publieke documentatie.
  8. Verbinding testen en opslaan
    • Test connection uitvoeren.
    • Daarna met Save opslaan.
Sophos Firewall Threat Feeds toevoegen
Sophos Firewall Threat Feeds toevoegen

Na het opslaan moet men niet meteen naar het volgende onderwerp springen. Eerst controleren of de feed synchroniseert, of het verwachte aantal IoCs zichtbaar is en of de Log Viewer treffers met feednaam, actie, bron en doel traceerbaar toont.

Controle tijdens bedrijf

Na de inrichting moet men er niet zomaar van uitgaan dat alles klopt. Belangrijk is dat treffers zichtbaar en verklaarbaar zijn.

  1. System services > Log settings controleren en Active-Threat-Response-logging activeren.
  2. In de Log viewer filteren op Active threat response.
  3. Controleren welke feed geraakt heeft.
  4. Bron, doel, service en betrokken firewallregel controleren.
  5. Bij False Positives geen brede uitzondering zetten, maar de concrete indicator controleren en documenteren.

Juist bij DNAT, WAF en VPN-portalen ziet men na activering vaak zeer snel hoeveel ongewenst traffic uit bekende slechte bronnen komt. Daarom zijn Threat Feeds bijzonder geschikt als extra beschermingslaag voor blootgestelde diensten.

Als een feed geen hits toont

Geen hits betekenen niet automatisch dat de feed slecht is. Een ander Active Threat Response-onderdeel kan dezelfde IoC eerder herkennen, het relevante verkeer loopt mogelijk niet door de juiste firewallregel of de firewall ziet bij domains en URLs niet genoeg context.

Zinvolle controle:

  1. Threat indicators openen en zoeken naar een bekende testindicator.
  2. Controleren of de feed actief is en of de Sync status Success toont.
  3. Bij Authentication error toegangsgegevens of API key controleren.
  4. Bij Connection error DNS, internettoegang, HTTP-status en feedserver controleren.
  5. Bij SSL/TLS error CA-certificaat en certificaatketen van de feedserver controleren.
  6. Bij Failed feedformaat, bestandsoproep in de browser en ongeldige indicatoren controleren.
  7. Firewallregel en Log Viewer voor het verwachte verkeer controleren.
  8. Bij domain-feeds Application Classification of IPS-policy controleren.
  9. Bij URL-feeds Web Proxy, DPI en SSL/TLS inspection rule controleren.
  10. Threat Exclusions, Web Exclusions en SSL/TLS Exclusion Lists controleren.
  11. Als na een observatiefase geen relevante hits ontstaan, feedomvang of feedpositie opnieuw beoordelen.

False Positives behandelen

False Positives zijn bij elke dynamische blocklist mogelijk. Beslissend is hoe netjes men ermee omgaat.

Praktische aanpak:

  1. Betrokken logregel in de Log Viewer openen.
  2. Feednaam, Indicator type, actie, Source, Destination en Service noteren.
  3. Controleren of het traffic inhoudelijk verwacht en legitiem is.
  4. Indicator bij de feedaanbieder controleren of melden.
  5. Uitzondering zo smal mogelijk zetten.
  6. Ticket, reden en reviewdatum documenteren.

Geen goede oplossing is een brede uitzondering voor hele netwerken, alleen omdat een gebruiker “een site niet kan openen”. Bij URL- of Domain-treffers moet aanvullend worden gecontroleerd of TLS Inspection, Web Policy, DNS Protection of een andere securityfunctie betrokken is.

Operationele checklist

  • Feednaam, aanbieder, plan en owner gedocumenteerd.
  • Indicator type per feed eenduidig gezet.
  • Actie Monitor of Block bewust gekozen.
  • Polling interval passend bij de feed gezet.
  • Certificaatcontrole en authenticatie getest.
  • Synchronisatiestatus en Storage Quota gecontroleerd.
  • Active-Threat-Response-logs zichtbaar.
  • False-Positive-proces met reviewdatum gedefinieerd.
  • DNAT-, WAF- en VPN-scenario’s per SFOS-versie beoordeeld.
  • Alerts of reports voor terugkerende treffers ingepland.

FAQ

Welke licentie is nodig voor Third-Party Threat Feeds?

Voor Third-Party Threat Feeds op Sophos Firewall is in de praktijk het Xstream Protection Bundle nodig. Voor deze specifieke module is geen extra Sophos Central-licentie nodig.

Moet men Threat Feeds direct laten blokkeren?

Bij bekende en gecureerde feeds is blokkeren het doel. In gevoelige omgevingen kan het toch zinvol zijn eerst treffers te observeren en False Positives uit te sluiten.

Helpen Threat Feeds ook bij DNAT of WAF?

Ja, vooral vanaf SFOS 22 is dat een belangrijke toepassing. Juist gepubliceerde diensten worden snel gevonden door bots en scanners. Een IPv4-feed kan bekende slechte bronnen blokkeren voordat ze de gepubliceerde dienst of WAF-applicatie bereiken.

Waarom zijn gescheiden feeds voor IPs, domains en URL's nodig?

De Sophos Firewall verwerkt een feed op basis van het gekozen Indicator type. Als een bron meerdere types levert, moet men die gescheiden als IPv4-, Domain- of URL-feed aanmaken.

Vervangt een Threat Feed IPS of WAF?

Nee. Threat Feeds blokkeren bekende slechte indicatoren. IPS, WAF, Web Protection, TLS Inspection, MFA, patchmanagement en nette firewallregels blijven noodzakelijk.

Wat doen als een Threat Feed legitiem traffic blokkeert?

Eerst de logregel controleren: feednaam, Indicator type, bron, doel, service en actie. Daarna de indicator inhoudelijk beoordelen, bij de aanbieder melden en alleen een smalle uitzondering met reden en reviewdatum zetten.