Przejdz do tresci
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Wraz z SFOS 22.0 MR1 firma Sophos wprowadziła do Sophos Firewall nową funkcję wykrywania: NDR Active Threat Intelligence. Nazwa brzmi jak kolejny duży element bezpieczeństwa, ale technicznie warto ująć ją nieco precyzyjniej. Firewall korzysta ze wzorców wykrywania z Taegis NDR. W Sophos Community iSensor jest przy tym wymieniany jako silnik IPS ze świata Secureworks lub Taegis, którego wzorce trafiają teraz do SFOS. Celem nie jest przede wszystkim natychmiastowe twarde blokowanie każdego trafienia, lecz uwidocznienie podejrzanych aktywności w sieci i udostępnienie ich do analiz XDR, MDR lub SOC.

To ważna różnica. Wielu administratorów, myśląc o bezpieczeństwie firewalla, najpierw myśli o blokowaniu: IPS blokuje, Web Protection blokuje, DNS Protection blokuje, Threat Feeds blokują. NDR Active Threat Intelligence działa inaczej. Funkcja rozpoznaje potencjalnie szkodliwy lub podejrzany ruch, zapisuje zdarzenia w logach i przekazuje dane do Sophos Data Lake. Tam można je dalej analizować w Sophos Central, w Threat Analysis Center, dla Sophos XDR, Sophos MDR lub w SOC.

Z mojej perspektywy jest to sensowne uzupełnienie, ale nie magiczny zamiennik prawdziwej koncepcji Detection and Response. Kto po prostu włączy tę funkcję, a potem nigdy nie zajrzy do logów, Detections ani Cases, niewiele zyska. Kto jednak świadomie włączy ją w reguły firewalla, TLS Inspection, raportowanie i procesy obsługi incydentów, otrzyma dodatkowe sygnały dokładnie tam, gdzie wiele ataków staje się widocznych: w ruchu sieciowym.

Co robi NDR Active Threat Intelligence

NDR Active Threat Intelligence korzysta ze wzorców wykrywania o wysokiej wartości sygnału z Taegis NDR. Sophos Firewall sprawdza odpowiedni ruch pod kątem tych wzorców, generuje zdarzenia typu Detection i przekazuje je do Data Lake. Sophos opisuje tę funkcję jako wykrywanie potencjalnie szkodliwego ruchu i aktywnych atakujących wewnątrz sieci.

W praktyce chodzi o sytuacje, które dla klasycznej prewencji nie zawsze są wystarczająco jednoznaczne, ale stają się ważne podczas dochodzenia:

  • zaufane narzędzie Windows, takie jak certutil, nadużywane do podejrzanych pobrań,
  • skompromitowany system, który skanuje hosty obsługujące SSH, na przykład w kontekście NoaBot,
  • nietypowy ruch HTTP przez port, na którym właściwie oczekiwany byłby DNS,
  • ruch wychodzący, który wygląda jak wyciek danych lub ukryta komunikacja, na przykład przez stare narzędzie finger.

Takie sygnały nie zawsze są automatycznie potwierdzonym atakiem. Właśnie dlatego akcja w konfiguracji jest ustawiona na Log threats. Firewall zbiera wskazówki, czyni je widocznymi i udostępnia je do korelacji. Gdy pojawią się kolejne sygnały, na przykład Endpoint-Events, wskazówki dotyczące tożsamości albo dodatkowe logi firewalla, może z tego powstać wiarygodna Detection lub Case.

Dlaczego to nie to samo co ATP lub klasyczne Threat Feeds

Naturalne pytanie brzmi: czy to po prostu Advanced Threat Protection pod nową nazwą? Raczej nie. W Sophos Community nowa opcja reguły firewalla została trafnie opisana jako nowe lub ulepszone wzorce IPS, a nie jako klasyczne ATP. Ta różnica jest ważna, bo dzięki niej jaśniejsze stają się także oczekiwania wobec funkcji.

Advanced Threat Protection i Sophos X-Ops Threat Feeds działają mocniej w oparciu o reputację i wskaźniki. Chodzi o znane złośliwe adresy IP, domeny, URL-e lub wskaźniki Command-and-Control. Takie feeds są bardzo wartościowe, gdy cel lub nadawca jest już znany jako szkodliwy. Pasuje do tego również starszy wpis o Threat Intelligence Feeds dla firewalla.

NDR Active Threat Intelligence patrzy silniej na podejrzane wzorce ruchu. Sam ruch dostarcza wskazówek: nietypowe użycie protokołów, podejrzane pobrania, zachowania typu Lateral Movement albo komunikacja, która nie pasuje do oczekiwanego użycia. To bliższe Network Detection and Response niż czystej liście blokowania.

Ważna jest jeszcze druga różnica: ATP jest pomyślane bardziej systemowo, natomiast NDR Active Threat Intelligence aktywuje się dodatkowo w odpowiednich regułach firewalla. Decyduje się więc dla każdej reguły lub ścieżki ruchu, jaki ruch ma być analizowany tymi wzorcami.

Wymagania i obsługiwane platformy

NDR Active Threat Intelligence to funkcja dla Sophos Firewall 22.0 MR1. W Release Notes jest wymieniona dla wersji 22.0 MR1 Build 490, opublikowanej 20 kwietnia 2026.

W praktyce istotne są przede wszystkim te punkty:

  • Potrzebna jest Sophos Firewall z Xstream Protection Bundle.
  • Obsługiwane są XGS Series Firewalls, włącznie z Gen.1 i Gen.2, a także wdrożenia wirtualne, programowe i chmurowe.
  • Obsługiwane są między innymi VMware, KVM, Hyper-V, Azure, AWS, XEN i Software-Appliances.
  • Nie są obsługiwane XGS 88, XGS 88w, XGS 87 i XGS 87w.
  • Do analiz XDR potrzebna jest licencja Sophos XDR.
  • Do analiz MDR potrzebne jest MDR Essentials lub MDR Complete.
  • Do Sophos Central Reporting raporty i logi muszą być wysyłane do Sophos Central.
  • Firewall musi być zarejestrowany w Sophos Central, jeśli chce się korzystać z widoków Central.
  • Według wskazówki z Techvids Sophos Firewall Home Edition nie jest obecnie obsługiwany.

Punkt dotyczący XGS 87 i XGS 88 jest ważny, ale nie jest jedyną kontrolą operacyjną. Najmniejsze modele desktopowe nie są obsługiwane dla tej funkcji, nawet jeśli poza tym mogą korzystać z aktualnych wersji SFOS. Kto pracuje w małych placówkach zewnętrznych lub oddziałach z XGS 87, XGS 87w, XGS 88 albo XGS 88w, nie powinien planować NDR Active Threat Intelligence jako dostępnego modułu ochrony. Jednocześnie sama licencja nie wystarczy: Central Reporting, połączenie z Data Lake i IPS-Logging muszą być poprawnie aktywowane, inaczej wartość operacyjna pozostaje niewielka.

NDR Active Threat Intelligence, NDR Essentials czy Sophos Central NDR?

Nazwy są podobne, ale nie oznaczają tego samego. NDR Essentials to funkcja flow blisko firewalla: Sophos Firewall zbiera flow sieciowe, analiza odbywa się w chmurze Sophos i nie jest potrzebna osobna VM sensora. To przydatne w środowiskach, w których firewall widzi istotne strumienie danych i można zacząć bez dodatkowej appliance.

NDR Active Threat Intelligence to nowy element po stronie firewalla. Wykorzystuje wyselekcjonowane wzorce Taegis/iSensor i dodatkowo włącza się go w istotnych regułach firewalla. Nie jest to osobna appliance NDR, lecz sygnały detekcji i logowania dla ruchu, który firewall rzeczywiście przetwarza.

Sophos Central NDR to natomiast samodzielny produkt NDR z dedykowaną wirtualną VM sensora. Taki sensor zwykle podłącza się pasywnie przez port SPAN, Mirror lub TAP, dzięki czemu może widzieć także wewnętrzny ruch east-west, unmanaged devices, systemy IoT/OT lub nieautoryzowane assets, które w zależności od architektury nigdy nie przechodzą przez firewall. Krótko mówiąc: NDR Essentials i NDR Active Threat Intelligence rozszerzają widok firewalla. Sophos Central NDR daje szerszy obraz sieci przez własną VM sensora.

Gdzie aktywować tę funkcję

Podstawowa konfiguracja odbywa się na Sophos Firewall pod:

Active Threat Response > NDR Essentials and Active Threat Intelligence

Ten punkt menu wcześniej nazywał się tylko NDR Essentials. W SFOS 22.0 MR1 został rozszerzony i przemianowany na NDR Essentials and Active Threat Intelligence, ponieważ teraz połączono tam oba obszary.

Aktywacja Sophos Firewall NDR Essentials and Active Threat Intelligence
NDR Essentials i NDR Active Threat Intelligence konfiguruje się w Active Threat Response.

Tam aktywuje się NDR Active Threat Intelligence i wybiera minimalny poziom ważności. Sophos wymienia pięć poziomów Severity:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

Wybór określa, które wzorce są brane pod uwagę. Jeśli wybierze się Warning, uwzględnione zostaną wszystkie wzorce od Critical do Warning. Jeśli wybierze się Critical, analizowane będą tylko wzorce krytyczne. Brzmi to banalnie, ale w eksploatacji jest ważne. Zbyt wysoki próg może ukryć interesujące wczesne wskaźniki. Zbyt niski próg może w większych sieciach prowadzić do znacznie większej liczby zdarzeń.

Moja rekomendacja: nie zaczynać ślepo od najbardziej czułego ustawienia. Lepszy jest zdefiniowany pilotaż z kilkoma istotnymi regułami, jasnym loggingiem i późniejszą oceną. Potem można zdecydować, czy Severity-Level pasuje, czy należy stopniowo rozszerzać wdrożenie.

Poniższa demonstracja Sophos pokazuje aktywację i przebieg testu w GUI firewalla w zwartej formie:

Reguły firewalla są decydujące

Po włączeniu firewall przypomina, że NDR Active Threat Intelligence musi zostać aktywowane także w pasujących regułach firewalla. To jeden z najważniejszych punktów, ponieważ w przeciwnym razie funkcja nie zostanie zastosowana do pożądanego ruchu.

W regułach ustawienie znajduje się pod Rules and policies > Firewall rules. W danej regule przewija się do sekcji Other security features.

Tam trzeba aktywować Scan with NDR Active Threat Intelligence. Ten krok należy wykonać dla każdej reguły, której ruch ma być analizowany. Dotyczy to typowo reguł dla użytkowników do internetu, ruchu serwerowego, ruchu DMZ lub określonych wewnętrznych ścieżek komunikacyjnych.

Reguła Sophos Firewall z Scan with NDR Active Threat Intelligence
W regułach firewalla trzeba dodatkowo aktywować Scan with NDR Active Threat Intelligence.

W instrukcji Techvids dodatkowo wskazano, że Scan HTTP and decrypted HTTPS powinno być aktywne, a SSL/TLS Inspection Rules muszą być ustawione na Decrypt, jeśli ma być sprawdzany odszyfrowany ruch HTTPS. To logiczne: im mniej firewall widzi z ruchu, tym mniej sensownie może wykrywać. Jednocześnie TLS Inspection jest zawsze projektem operacyjnym, a nie kliknięciem przy okazji.

Krótko mówiąc: sama globalna funkcja NDR Active Threat Intelligence nie wystarczy. Opcja w regule, HTTPS Scanning i SSL/TLS Inspection muszą do siebie pasować, inaczej widoczność pozostaje ograniczona.

Nie włączać wszystkiego naraz

Nie włączałbym NDR Active Threat Intelligence od razu na każdej regule i w każdej strefie. Technicznie w wielu środowiskach może to działać, ale operacyjnie rzadko jest to najlepszy start. Sensowniejsze jest wdrożenie etapami:

  1. Sprawdzić reguły ruchu użytkowników do internetu.
  2. Sprawdzić reguły ruchu serwerów do internetu.
  3. Sprawdzić DMZ i opublikowane usługi.
  4. Sprawdzić wewnętrzne reguły segmentacji o wysokim ryzyku.
  5. Po kilku dniach ocenić logi i Detections.

W ten sposób wcześnie widać, czy określone aplikacje generują podejrzane wzorce, czy TLS Inspection działa poprawnie i czy liczba zdarzeń pozostaje operacyjnie możliwa do opanowania.

Gdzie widać Detections

Na samym firewallu istnieje kilka sposobów, aby obejrzeć Detections. Bezpośrednio w obszarze NDR Active Threat Intelligence widget podsumowania pokazuje łączną liczbę wykryć z ostatnich siedmiu dni oraz podział według Severity.

Szczegóły można otworzyć przez NDR Active Threat Intelligence Logs. Sophos wskazuje przy tym typ logu IPS. Alternatywnie w Log Viewer można filtrować według kategorii:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Dodatkowo analizy są widoczne pod Reports > Network & Threat oraz przy atakach typu Intrusion.

W Sophos Central są dwie ważne perspektywy:

  • Firewall Management > Report Generator, tam z Report Template IPS
  • w zależności od użycia XDR lub MDR Threat Analysis Center > Detections i w razie potrzeby Cases

Pierwsza ścieżka jest opisana w dokumentacji Sophos. Druga pochodzi przede wszystkim z demonstracji Techvids i jest interesująca dla środowisk XDR oraz MDR. Widać tam dane surowe, takie jak Device Serial ID, Source IP i Destination IP, i można korelować wykrycie firewalla z innymi sygnałami.

Co powinno się wydarzyć przy trafieniu

Trafienie NDR Active Threat Intelligence jest sygnałem do dochodzenia. Nie powinno być automatycznie uznawane za załatwione tylko dlatego, że gdzieś istnieje wpis w logu. W dobrym modelu operacyjnym co najmniej te pytania są wyjaśnione:

  • Kto regularnie widzi te Detections?
  • Od jakiego Severity tworzone jest zgłoszenie lub Case?
  • Jakie logi są dodatkowo sprawdzane?
  • Czy istnieje krok Runbook dla Source IP, Destination IP i dotkniętych użytkowników?
  • Czy sprawdza się, czy ten sam host pokazuje nieprawidłowości Endpoint, DNS, Web lub Identity?
  • Czy istnieje decyzja, kiedy urządzenie jest izolowane lub reguła firewalla dostosowywana?

Szczególnie ważne: jeśli używany jest Sophos MDR, powinno być jasne, jaką rolę przejmują analitycy MDR i które działania muszą zostać zdecydowane wewnętrznie. Jeśli Sophos XDR działa bez MDR, wewnętrznie potrzebna jest osoba, która naprawdę czyta i klasyfikuje te Detections.

Przykłady z praktyki

Najciekawsze przykłady to nie głośne ataki, które i tak rozpoznaje każdy IPS. Interesujące są ciche sygnały:

Living-off-the-Land

Jeśli legalne narzędzie, takie jak certutil, jest używane do podejrzanego pobrania, na pierwszy rzut oka nie musi to koniecznie wyglądać jak malware. Właśnie takie techniki Living-off-the-Land są popularne w prawdziwych atakach, ponieważ nadużywają istniejących narzędzi systemu operacyjnego i przez to są mniej widoczne.

NDR Active Threat Intelligence może uczynić takie wzorce widocznymi. Nie oznacza to automatycznie, że każde trafienie wskazuje na kompromitację. Oznacza jednak: ten host zasługuje na uwagę.

Lateral Movement

Jeśli zainfekowany system zaczyna skanować hosty SSH, może to być wskazówka dotycząca lateral movement. Sophos w dokumentacji podaje między innymi NoaBot jako przykład tego wzorca. W środowiskach segmentowanych klient i tak nie powinien swobodnie docierać do wszystkich serwerów lub systemów zarządzania. Gdy takie próby stają się widoczne, nie jest to tylko temat Detection, ale również wskazówka dotycząca segmentacji.

Pasuje tu kontekst wpisu Sophos NDR - usuwanie martwych punktów w sieci: ruch sieciowy pozostaje miejscem, w którym napastnicy zostawiają ślady, nawet jeśli sygnały Endpoint są niepełne.

Nietypowe użycie protokołów

HTTP przez port DNS albo połączenia wychodzące, które mają maskować wyciek danych, to typowe przykłady sytuacji “technicznie możliwe, ale operacyjnie błędne”. Sophos jako przykład wycieku danych wymienia między innymi ruch przez finger. Takie wzorce rzadko da się czysto ocenić pojedynczą regułą Allow/Deny. Jako sygnał Detection są jednak wartościowe.

Czego ta funkcja nie zastępuje

NDR Active Threat Intelligence jest dobrym dodatkowym sensorem, ale nie zastępuje podstawowej pracy nad bezpieczeństwem.

Funkcja nie zastępuje:

  • czystych reguł firewalla,
  • segmentacji przeciw Lateral Movement,
  • planowania TLS Inspection,
  • IPS, Web i DNS Protection,
  • Endpoint Detection and Response,
  • Sophos MDR lub własnego SOC,
  • SIEM z jasnymi Use Cases,
  • procesów Patch i Hotfix,
  • regularnych przeglądów konfiguracji firewalla.

Funkcja nie zastępuje też automatycznie Sophos Central NDR z dedykowaną VM sensora. To rozróżnienie opisano wyżej i warto je świadomie sprawdzić przed decyzją architektoniczną.

Moja ocena

Uważam tę funkcję za interesującą, ponieważ zmniejsza lukę między klasyczną ochroną firewalla a Security Operations. Firewall i tak znajduje się w silnej pozycji w sieci. Jeśli działają tam dodatkowe wzorce wykrywania NDR, a dane stają się widoczne w Central, XDR lub MDR, powstaje realna wartość dodana.

Ale wartość nie powstaje przez samo włączenie. Powstaje dzięki trzem rzeczom:

  • pasującym regułom firewalla,
  • wystarczającej widoczności w HTTP i odszyfrowanym HTTPS,
  • procesowi, który ocenia Detections.

Kto już korzysta z Sophos Central, Sophos XDR lub Sophos MDR, powinien sprawdzić NDR Active Threat Intelligence i aktywować ją w kontrolowanym pilocie. Kto używa firewalla w izolacji i nie korzysta z Central Reports ani procesów Security Operations, powinien najpierw stworzyć podstawy. W przeciwnym razie funkcja w najlepszym przypadku produkuje interesujące logi, których nikt nie ogląda.

Moja rekomendacja jest więc pragmatyczna: najpierw zacząć od kilku istotnych reguł, sprawdzić IPS-Logging, przetestować połączenie z Central, a potem zdecydować, jak szeroko wdrożyć funkcję. Przy kontrolowanych zdarzeniach testowych kierowałbym się demonstracją Techvids. W Sophos Community wspomniano, że dedykowane testy NDR Active Threat Intelligence dla sophostest.com mają dopiero zostać uzupełnione.

Checklista dla administratorów

Sprawdzić od razu

  • Czy firewall działa na SFOS 22.0 MR1 lub nowszym?
  • Czy Xstream Protection Bundle jest aktywny?
  • Czy firewall jest zarejestrowany w Sophos Central?
  • Czy raporty i logi są wysyłane do Sophos Central?
  • Czy IPS-Logging jest aktywny?
  • Czy istnieją istotne reguły firewalla, na których można przetestować tę funkcję?

Uwzględnić przy wdrożeniu

  • Aktywować NDR Active Threat Intelligence pod Active Threat Response.
  • Świadomie wybrać Severity-Level.
  • Aktywować Scan with NDR Active Threat Intelligence dla każdej istotnej reguły firewalla.
  • HTTP-Scanning i odszyfrowany HTTPS aktywować tylko tam, gdzie jest to operacyjnie dobrze zaplanowane.
  • Sprawdzić SSL/TLS Inspection Rules i udokumentować wyjątki.
  • Kontrolować Detections na firewallu i w Sophos Central.
  • W kontrolowany sposób wywoływać i dokumentować zdarzenia testowe.

Wyjaśnić w eksploatacji

  • Kto ogląda Detections i Cases?
  • Jaki Severity tworzy zgłoszenie?
  • Które hosty są priorytetowo badane przy trafieniach?
  • Jakie logi są korelowane?
  • Kiedy urządzenie zostaje izolowane?
  • Jak dokumentuje się False Positives?
  • Jak często reguły, Severity i wolumen zdarzeń są przeglądane?

Podsumowanie

Sophos Firewall NDR Active Threat Intelligence nie jest kolejną marketingową etykietą dla istniejącej listy blokowania. Funkcja przenosi wzorce wykrywania Taegis NDR bezpośrednio do Sophos Firewall i lepiej uwidacznia podejrzane aktywności sieciowe. To szczególnie interesujące dla środowisk XDR, MDR i SOC, ponieważ sygnały firewalla mogą dzięki temu silniej trafiać do dochodzeń.

Najważniejsze ograniczenie pozostaje jednak takie: to przede wszystkim Detection i Logging. Kto oczekuje natychmiastowego blokowania, musi właściwie zaklasyfikować tę funkcję. Kto natomiast poważnie traktuje Security Operations, otrzymuje dodatkowy sygnał, który może być pomocny zwłaszcza przy Living-off-the-Land, Lateral Movement i nietypowym użyciu protokołów.

Dla środowisk produkcyjnych zacząłbym więc od krótkiego pilotażu, jasnego procesu logowania i obsługi Case, a potem od zaplanowanego wdrożenia na naprawdę istotne reguły. Wtedy NDR Active Threat Intelligence może zapewnić dokładnie to, czego nowoczesne firewalle muszą dziś dostarczać: nie tylko zezwalać na ruch lub go blokować, ale wcześniej uwidaczniać ataki.

FAQ

Czym jest Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence to funkcja wykrywania w Sophos Firewall 22.0 MR1. Firewall korzysta ze wzorców wykrywania Taegis NDR, rozpoznaje podejrzany ruch, zapisuje zdarzenia w logach i przekazuje je do Sophos Data Lake.

Czy NDR Active Threat Intelligence automatycznie blokuje ataki?

Funkcja jest zaprojektowana przede wszystkim pod Logging i Detection. Akcja jest ustawiona na Log threats. Trafienia służą jako sygnał do dochodzenia dla logów firewalla, Sophos Central, XDR, MDR lub analiz SOC.

Jaka licencja jest potrzebna?

Do NDR Active Threat Intelligence potrzebny jest Xstream Protection Bundle. Do dalszych analiz w Sophos XDR lub Sophos MDR wymagane są dodatkowo odpowiednie licencje XDR lub MDR.

Które firewalle są obsługiwane?

Obsługiwane są XGS Series Firewalls włącznie z Gen.1 i Gen.2 oraz wdrożenia wirtualne, software i cloud. Nie są obsługiwane XGS 88, XGS 88w, XGS 87 i XGS 87w.

Gdzie aktywuje się tę funkcję?

Podstawową funkcję aktywuje się pod Active Threat Response > NDR Essentials and Active Threat Intelligence. Dodatkowo w istotnych regułach firewalla trzeba włączyć Scan with NDR Active Threat Intelligence.

Czy NDR Active Threat Intelligence to to samo co Sophos NDR?

Nie. NDR Active Threat Intelligence przenosi wzorce wykrywania NDR na Sophos Firewall. Dedykowany sensor Sophos NDR to osobna architektura dla szerszej widoczności sieci, typowo przez SPAN/TAP i Sophos Central.

Czy przy NDR Active Threat Intelligence nadal potrzebne są Third-Party Threat Feeds?

Tak, w wielu środowiskach nadal. NDR Active Threat Intelligence wykrywa podejrzane wzorce ruchu i dostarcza sygnały Detection. Third-Party Threat Feeds, takie jak Cybora, dostarczają natomiast konkretne wskaźniki, takie jak złośliwe adresy IP, domeny lub URL-e, które firewall może aktywnie blokować. Oba elementy się uzupełniają: NDR pomaga rozpoznawać podejrzane wzorce, Threat Feeds redukują znany szkodliwy ruch już na granicy sieci.

Gdzie widać Detections?

Detections widać na firewallu w obszarze NDR Active Threat Intelligence, w Log Viewer, w Reports > Network & Threat oraz w Sophos Central Firewall Reporting. W środowiskach XDR lub MDR mogą dodatkowo pojawić się w Threat Analysis Center pod Detections lub Cases.

Źródła

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.