Sophos Firewall Threat Feeds
De Sophos Firewall Threat Feeds van Cybora leveren continu Threat Intelligence Feeds die Indicators of Compromise (IoCs), zoals kwaadaardige IP-adressen, domeinen of URL’s, automatisch in je Sophos Firewall importeren en direct blokkeren. Daardoor valt een groot deel van het handmatige beheer voor administrators weg. De feeds bevatten niet alleen actuele community- en OSINT-data, maar ook commercieel ingekochte informatie, resultaten uit onze honeypots en geanonimiseerde aanvals-, fout- en anomalielogs uit veel Sophos Firewalls die wij beheren. Zo worden malwaredomeinen, botnet-C&C-servers en phishing-sites proactief uitgefilterd. Dat verhoogt de security van je infrastructuur en vermindert tegelijk ongewenste traffic op de firewall.
Wat zijn Threat Feeds?
Threat Feeds, of bedreigingsfeeds, zijn lijsten met Indicators of Compromise (IoCs), zoals kwaadaardige IP-adressen, domeinen en URL’s. Deze feeds komen van externe bronnen, zoals securityorganisaties, brancheconsortia of open-source communities, en stellen je Sophos Firewall in staat om dataverkeer van bekende bedreigingen automatisch te blokkeren. De integratie van deze feeds in je firewall zorgt voor proactieve verdediging die aanvallen tegenhoudt voordat ze je netwerk bereiken. In Sophos Firewall v21 is deze functie uitgebreid met ondersteuning voor third-party feeds die via het Active Threat Response Framework worden geïmplementeerd.
De voordelen zijn duidelijk:
- Proactieve bescherming: bedreigingen blokkeren voordat er schade ontstaat.
- Flexibiliteit: feeds van verschillende aanbieders gebruiken, afgestemd op individuele eisen.
- Automatisering: de firewall blokkeert automatisch; handmatig ingrijpen is niet nodig.
Vereisten voor Threat Feeds
Om de Sophos Firewall Threat Feeds-functie te kunnen gebruiken, heb je de Xstream Protection Bundle-licentie voor de Sophos Firewall nodig. Deze bundle bevat geavanceerde securityfeatures waarmee de firewall bedreigingsinformatie efficiënt kan verwerken en erop kan reageren. Zonder deze bundle is het gebruik van third-party feeds niet mogelijk, omdat de benodigde modules voor de verwerking van IoCs ontbreken.
Van Free tot Ultimate Threat Feed - by Cybora
Wij begrijpen hoe belangrijk betrouwbare en actuele bedreigingsinformatie is voor je netwerksecurity. Daarom bieden we meerdere zorgvuldig gecureerde Threat Feed-plannen aan die specifiek voor Sophos Firewalls zijn geoptimaliseerd. Dit doen we in samenwerking met Cybora.
De feeds worden samengesteld uit veel gerenommeerde bronnen om brede en betrouwbare threat detection te bieden. Free (Basic) is geschikt voor home users, PoC’s en compatibiliteitstests. Standard vult de IPv4-feed aan met belangrijke malware- en phishingdomeinen. Premium breidt de dekking uit met domeinen en URL’s en updates per uur. Ultimate is bedoeld voor kritieke infrastructuur en high-risk perimeters met updates elke 15 minuten.
Met de Sophos Firewall Threat Feeds kun je netwerksecurity naar een hoger niveau brengen. Met onze gecureerde feeds vervalt complex feedbeheer. Afhankelijk van de omgeving is het gratis Basic-plan genoeg voor tests, terwijl Standard, Premium en Ultimate bedoeld zijn voor productie-eisen met toenemende dekking en actualiteit.
Threat Feeds vergelijken - security voor je behoeften
Free / Basic
Free (Basic)
$0/per jaar
- Update-interval: elke 24 h
- IPv4: 20,000 IPv4
- Support: Geen support
Basisbescherming
Standard
$179/per jaar
- Update-interval: elke 6 h
- IPv4: 85,000 IPv4
- Domeinen: Top 5,000 domeinen
- Support: Standaard
Geavanceerde bescherming
Premium
$349/per jaar
- Update-interval: elk uur
- IPv4: 220,000 IPv4
- Domeinen: 45,000 Domeinen
- URLs: 25,000 URLs
- Support: Prioriteit
Missiekritieke bescherming
Ultimate
$1,999/per jaar
- Update-interval: elke 15 min
- IPv4: 300,000+ IPv4
- Domeinen: 100,000+ Domeinen
- URLs: 100,000 URLs
- Support: Zeer hoog
Avanet Firewall Network
Een deel van de Premium Feed bestaat uit data van ons wereldwijd verspreide firewallnetwerk.
Veel tools herkennen brute-force-aanvallen van individuele IP-adressen zonder problemen, maar falen bij verspreide aanvallen via botnets. In zulke gevallen voert elke door de aanvaller gecontroleerde host slechts enkele mislukte loginpogingen met lage frequentie uit en blijft daardoor buiten detectie en blokkering.
Sommige botnets bestaan uit honderdduizenden geinfecteerde hosts, waardoor cybercriminelen massale brute-force-aanvallen kunnen uitvoeren zonder geblokkeerd te worden.
Dankzij ons netwerk verzamelen we logs centraal, herkennen we verdachte activiteiten vroeg en kunnen we aanvallende IP-adressen snel blokkeren. Zo ontstaat een voortdurend bijgewerkte Threat Intelligence Feed met IP’s die op meerdere systemen opvallend gedrag vertonen. Door deze data samen te voegen en continu in onze Threat Intelligence Feed in te voeren, worden IP-adressen herkend die gericht infrastructuur aanvallen en automatisch afgeweerd.
Sophos Firewall Threat Feed Setup?
De integratie van onze Sophos Firewall Threat Feeds is eenvoudig en binnen enkele minuten gedaan. Alle feeds zijn volledig compatibel met de Third-Party Threat Feed-functie van de Sophos Firewall en kunnen als volgt via de webinterface van de firewall worden toegevoegd:
- Menu openen Protect -> Active threat response -> Third-party threat feeds -> Add
- Basisgegevens invullen
- Name: cybora-premium-ipv4
- Description: Cybora Feed - Premium
- Indicatortype en regels instellen
- Indicator type: IPv4 address, Domain of URL
- Action: Block
- Feed-URL opslaan
- Plak in het veld External URL het passende adres uit de Avanet-feedlijst.
- Ophaalinterval instellen
- Polling interval: 24 h voor de Free-versie / 1 h voor Premium Version Een kortere tijd helpt niet; wij werken de Standard Feed slechts elke 24 uur bij.
- Authenticatie configureren (optioneel)
- Authorization: Geen
- Verbinding testen en opslaan
- Test connection uitvoeren -> Save.
Voor een stap-voor-stap handleiding voor de inrichting raden we de Sophos-documentatie aan.