Przejdz do tresci
Avanet

Obsługa Sophos Firewall NDR i Active Threat Response

Sophos Firewall

Sophos Firewall może dostarczać dodatkowe wskazówki dotyczące podejrzanego ruchu sieciowego dzięki NDR Essentials i NDR Active Threat Intelligence. Jest to pomocne, gdy chcemy nie tylko blokować ataki, ale także je wykrywać, badać i przetwarzać w Sophos Central, XDR, MDR lub SIEM.

Ważne jest, aby mieć realistyczne oczekiwania: NDR na firewallu nie jest magicznym przełącznikiem, który automatycznie rozwiązuje każdy problem. Funkcja ta wymaga odpowiednich licencji, widocznego ruchu, aktywowanych typów logów, świadomie wybranych reguł firewalla i procesu, który analizuje wyniki. Bez tej części operacyjnej powstają jedynie dodatkowe logi.

Dla klasycznych wskaźników kompromitacji, takich jak złośliwe adresy IP, domeny lub URL, najpierw należy skonfigurować i bezpiecznie obsługiwać Sophos Firewall Threat Feeds. Ten artykuł koncentruje się na NDR Essentials, NDR Active Threat Intelligence i operacyjnej analizie.

Czyste rozróżnienie terminów

Sophos używa kilku podobnych nazw. Dla administratorów ważne jest rozróżnienie, ponieważ każda funkcja działa inaczej.

FunkcjaCo się dziejeTypowe zastosowanie
NDR EssentialsFirewall analizuje wybrane dane przepływu i wykrywa IoC, takie jak adresy IP lub domeny.Wskazówki sieciowe bez oddzielnej maszyny wirtualnej czujnika.
NDR Active Threat IntelligenceFirewall wykorzystuje kuratowane wzorce Taegis-NDR, wykrywa podejrzany ruch, loguje zdarzenia i wysyła je do Sophos Data Lake.Wysokosygnałowe wykrywanie dla XDR, MDR lub operacji bezpieczeństwa.
Sophos Central NDROddzielny produkt NDR z własną maszyną wirtualną czujnika, zazwyczaj przez SPAN, Mirror lub TAP.Szerszy wgląd w ruch wschód-zachód, niezarządzane urządzenia i wewnętrzne ruchy sieciowe.
Threat FeedsListy IoC, takie jak IP, domeny lub URL, są sprawdzane w ruchu.Blokowanie lub monitorowanie znanych szkodliwych celów lub źródeł.

NDR Essentials i NDR Active Threat Intelligence rozszerzają widoczność firewalla. Sophos Central NDR to osobna architektura z oddzielnym czujnikiem. Zewnętrzne Threat Feeds to kolejny element: działają one na podstawie wskaźników i mogą w zależności od akcji bezpośrednio blokować.

Kiedy zastosowanie jest sensowne

NDR i Active Threat Response są szczególnie przydatne, gdy firewall nie jest używany tylko jako filtr pakietów, ale jest częścią procesu wykrywania i reagowania.

Typowe scenariusze:

  • Ruch internetowy klientów powinien być sprawdzany pod kątem podejrzanych celów lub wzorców.
  • Serwery lub systemy DMZ powinny dostarczać dodatkowe sygnały wykrywania.
  • XDR, MDR lub SOC powinny uwzględniać zdarzenia firewalla w badaniach.
  • Kilka firewalli powinno być centralnie analizowanych w Sophos Central lub SIEM.
  • Istnieje już proces dla alarmów, zgłoszeń, fałszywych alarmów i eskalacji.

Mniej sensowne jest zastosowanie, gdy nikt nie sprawdza zdarzeń, logi nie są przekazywane dalej lub odpowiednie reguły firewalla nie są dostosowane. Wtedy najpierw ważniejsze jest Central Firewall Reporting lub wysyłanie Sophos Firewall Syslog do SIEM.

Wymagania

Przed aktywacją należy sprawdzić następujące punkty:

  • Firewall działa na obsługiwanej wersji SFOS.
  • Aktywny jest Xstream Protection Bundle.
  • Firewall jest zarejestrowany w Sophos Central, jeśli mają być używane Central Reporting, XDR lub MDR.
  • Send reports and logs to Sophos Central jest aktywne, jeśli wykrycia mają być widoczne w Sophos Central.
  • Odpowiednie typy logów są aktywowane w System services > Log settings.
  • Dla NDR Active Threat Intelligence aktywne jest logowanie IPS.
  • Dla NDR Essentials aktywne jest logowanie Active-Threat-Response.
  • Istnieje zdefiniowany właściciel do przeglądu, dostrajania, wyjątków i eskalacji.

Przed aktywacją należy sprawdzić granice platformy. NDR Essentials nie obsługuje wdrożenia Active-Active-HA. NDR Active Threat Intelligence nie jest obsługiwane na XGS 87, XGS 87w, XGS 88 i XGS 88w. W środowiskach HA należy najpierw sprawdzić Zrozumienie wariantów klastra HA Sophos Firewall.

Konfiguracja NDR Essentials

NDR Essentials jest konfigurowane w sekcji Protect > Active threat response lub Active Threat Response > NDR Essentials and Active Threat Intelligence. Dokładna nazwa zależy od wersji SFOS.

Podstawowy przebieg:

  1. Aktywuj NDR Essentials.
  2. Dodaj odpowiednie interfejsy.
  3. Wybierz lokalizację centrum danych do analizy.
  4. Świadomie ustaw minimalny wynik zagrożenia.
  5. Sprawdź akcję. NDR Essentials najpierw wykrywa i loguje.
  6. Otwórz System services > Log settings.
  7. Aktywuj logowanie dla Active threat response.
  8. Zapisz i po kilku minutach sprawdź Log Viewer, Reports lub Central.

Przy wyborze interfejsów nie należy wybierać wszystkiego bezmyślnie. Sensowne są interfejsy, przez które przechodzi istotny ruch klientów, serwerów lub DMZ. Interfejsy WAN nie są odpowiednim miejscem dla tej analizy NDR; planowanie powinno koncentrować się na strefach LAN, DMZ i niestandardowych. Należy również uwzględnić nieobsługiwane typy interfejsów, takie jak interfejsy RED lub XFRM, przed wdrożeniem.

Jeśli nie zostaną wybrane żadne interfejsy, NDR Essentials nie wykryje nowych IoC z ruchu. Firewall może jednak nadal pracować z już wykrytymi IoC. To jest łatwe do przeoczenia w operacji.

Konfiguracja NDR Active Threat Intelligence

NDR Active Threat Intelligence wykorzystuje kuratowane wzorce wykrywania Taegis-NDR. Firewall wykrywa i loguje odpowiednie zdarzenia i przekazuje je do Sophos Data Lake. Te sygnały mogą być następnie badane w kontekście Sophos Central, XDR, MDR lub SOC.

Podstawowy przebieg:

  1. Otwórz Active Threat Response > NDR Essentials and Active Threat Intelligence.
  2. Aktywuj NDR Active threat intelligence.
  3. Wybierz minimalny poziom powagi.
  4. Sprawdź Action. Akcja jest ustawiona na Log threats.
  5. Otwórz System services > Log settings.
  6. Aktywuj logowanie IPS.
  7. Zapisz.
  8. Następnie otwórz odpowiednie reguły firewalla.
  9. W sekcji Other security features aktywuj opcję Scan with NDR Active threat intelligence.
  10. Zapisz zmiany i zweryfikuj zdefiniowany ruch.

Ostatni punkt jest kluczowy. Sama globalna aktywacja nie wystarczy. NDR Active Threat Intelligence musi być aktywowane w każdej regule firewalla, której ruch ma być analizowany.

Jakie reguły wybrać najpierw

Dobry rollout nie zaczyna się od wszystkich reguł jednocześnie. Lepiej jest przeprowadzić kontrolowany pilotaż z dobrze zrozumiałym ruchem.

Sensowne punkty startowe:

  • Sieci klientów z dostępem do Internetu.
  • Sieci serwerów z wychodzącym dostępem do Internetu.
  • Reguły DMZ z opublikowanymi usługami.
  • Reguły dla szczególnie krytycznych segmentów wewnętrznych.
  • Reguły z już aktywowanym IPS, Web lub TLS Inspection.

Reguły bez jasnego logowania, bez właściciela lub z bardzo szerokim nieklasyfikowanym ruchem nie są dobrym startem. Tam najpierw należy uporządkować bazę reguł. Do analizy reguł i dopasowania pasuje Testowanie reguł firewalla za pomocą Log Viewer, Policy Test i Packet Capture.

Widoczność i TLS Inspection

Sygnały NDR są tylko tak dobre, jak widoczność firewalla. Jeśli ruch jest zaszyfrowany, a firewall widzi tylko docelowy IP lub SNI, niektóre wzorce pozostają niewidoczne. Jeśli Web lub TLS Inspection jest dobrze zaplanowane, firewall może sprawdzić więcej kontekstu.

To nie oznacza, że TLS Inspection powinno być natychmiast aktywowane wszędzie. TLS Inspection to osobny projekt operacyjny z certyfikatami, wyjątkami, ochroną danych, wydajnością i nakładem na wsparcie. Do planowanego wdrożenia pasuje Wprowadzenie TLS Inspection w Sophos Firewall.

Również QUIC i HTTP/3 mogą wpływać na koncepcje Web i Inspection. Jeśli ruch przeglądarki omija klasyczne ścieżki HTTPS Inspection, należy sprawdzić Blokowanie protokołu QUIC i HTTP/3 w Sophos Firewall.

Logi i analiza

Bez analizy logów NDR jest mało użyteczne. W zależności od funkcji różne obszary logów są istotne.

ObszarGdzie sprawdzić
NDR EssentialsLogi Active threat response, wskaźniki zagrożeń, Central Reporting lub SIEM
NDR Active Threat IntelligenceLogi IPS, filtr Log Viewer Category is NDR Active threat intelligence, Central Firewall Reporting
Analiza XDR/MDRSophos Central Threat Analysis Center, wykrycia lub przypadki
Długoterminowa korelacjaSyslog, SIEM, platforma SOC lub MDR

Dla Sophos Central firewall musi wysyłać logi i raporty do Central. Procedura jest opisana w Aktywacja i obsługa Central Firewall Reporting w Sophos Firewall. Dla własnego SIEM odpowiedni typ logu musi być przekazywany przez Syslog i parsowany w systemie docelowym. Samo aktywowanie funkcji nie dowodzi, że wykrycia będą później odnajdywalne.

Punkty kontrolne po aktywacji:

  • Czy lokalne wpisy logów pojawiają się w Log Viewer?
  • Czy logi Active-Threat-Response lub IPS są wysyłane do Central?
  • Czy logi docierają do SIEM?
  • Czy pola takie jak Source, Destination, Firewall, Rule ID i kategoria są poprawnie rozpoznawane?
  • Czy istnieje dashboard lub wyszukiwanie dla trafień NDR/ATR?
  • Czy wiadomo, kto ocenia trafienia?

Co powinno się stać w przypadku trafienia

Trafienie jest najpierw sygnałem do zbadania. Nie każde trafienie jest automatycznie potwierdzonym atakiem, ale każde istotne trafienie wymaga procedury.

Minimalna procedura:

  1. Zarejestruj adres IP źródła, adres IP docelowy, użytkownika, regułę i czas.
  2. Sprawdź w Log Viewer, która reguła i który moduł były zaangażowane.
  3. Wyszukaj w Central, XDR, MDR lub SIEM inne zdarzenia tego samego hosta.
  4. Koreluj logi Endpoint, DNS, Web i uwierzytelniania.
  5. Zdecyduj, czy potrzebna jest izolacja, blokada firewalla, wyjątek Threat Feed lub dalsza analiza.
  6. Udokumentuj wynik.

W przypadku powtarzających się fałszywych alarmów nie należy od razu ustawiać szerokiego wyjątku. Lepiej jest ustawić wąski wyjątek z powodem, zgłoszeniem i datą przeglądu. Wyjątki w Active Threat Response mogą usunąć ochronę i dlatego powinny być częścią kontrolowanego procesu.

Typowe błędy

  • NDR Active Threat Intelligence jest globalnie aktywowane, ale nie włączone w regułach firewalla.
  • NDR Essentials jest aktywowane, ale nie wybrano odpowiednich interfejsów.
  • Logowanie IPS lub Active-Threat-Response nie jest aktywne.
  • Central Reporting lub Syslog nie jest skonfigurowane, mimo że oczekiwana jest centralna analiza.
  • Wykrycia są generowane, ale nikt ich nie sprawdza.
  • Severity lub Threat Score są ustawione zbyt czułe, co generuje niepotrzebny szum.
  • Wyjątki są ustawiane zbyt szeroko.
  • Planowane jest Active-Active HA lub małe modele XGS, mimo że funkcja nie jest tam obsługiwana.
  • TLS Inspection jest traktowane jako poboczny temat, zamiast być dobrze zaplanowane.

Lista kontrolna

  • Sprawdzono wersję SFOS i licencję.
  • Potwierdzono obsługiwaną platformę lub urządzenie.
  • Sprawdzono tryb HA.
  • Sprawdzono rejestrację w Sophos Central, jeśli używane jest Central Reporting, XDR lub MDR.
  • Aktywowano odpowiednie typy logów w System services > Log settings.
  • Świadomie wybrano interfejsy NDR Essentials.
  • Udokumentowano lokalizację centrum danych i minimalny wynik zagrożenia.
  • Aktywowano NDR Active Threat Intelligence.
  • Odpowiednie reguły firewalla wyposażono w Scan with NDR Active threat intelligence.
  • Sprawdzono trafienia w Log Viewer, Central Reporting lub SIEM.
  • Udokumentowano właściciela, alarmowanie, proces fałszywych alarmów i interwał przeglądu.

Często zadawane pytania

Czy NDR Essentials to to samo co NDR Active Threat Intelligence?

Nie. NDR Essentials analizuje wybrane przepływy ruchu firewalla i wykrywa IoC, takie jak adresy IP lub domeny. NDR Active Threat Intelligence wykorzystuje kuratowane wzorce Taegis-NDR, loguje podejrzane zdarzenia i wysyła je do Sophos Data Lake.

Czy NDR Active Threat Intelligence blokuje automatycznie?

Funkcja jest głównie ukierunkowana na wykrywanie i logowanie. Akcja jest ustawiona na Log threats. Trafienia powinny być analizowane w logach, Central, XDR, MDR lub SIEM, a następnie operacyjnie obsługiwane.

Dlaczego nie widać trafień NDR Active Threat Intelligence?

Często funkcja jest aktywna globalnie, ale nie włączona w odpowiednich regułach firewalla. Dodatkowo musi być aktywne logowanie IPS, a dotknięty ruch musi przechodzić przez regułę, w której aktywowano Scan with NDR Active threat intelligence.

Czy mimo NDR potrzebne są zewnętrzne Threat Feeds?

Tak, w wielu środowiskach funkcje się uzupełniają. NDR dostarcza sygnały wykrywania i rozpoznawania wzorców. Zewnętrzne Threat Feeds mogą monitorować lub blokować znane złośliwe IP, domeny lub URL na podstawie zewnętrznych list.

Czy Firewall-NDR zastępuje SIEM lub MDR?

Nie. Firewall-NDR dostarcza dodatkowe sygnały. Dla długoterminowej korelacji, alarmowania, obsługi przypadków i reakcji na incydenty nadal potrzebne są Central Reporting, XDR, MDR, SIEM lub jasny wewnętrzny proces.