Sophos Firewall Threat Feeds
Sophos Firewall Threat Feeds od Cybora dostarczają stale aktualizowane feedy Threat Intelligence, które automatycznie importują do Sophos Firewall wskaźniki kompromitacji (IoC), takie jak złośliwe adresy IP, domeny lub URL-e, i natychmiast je blokują. Dzięki temu administratorzy nie muszą ręcznie utrzymywać długich list blokad. Feedy zawierają aktualne dane społecznościowe i OSINT, komercyjnie kupowane informacje, wyniki z naszych honeypotów oraz zanonimizowane logi ataków, błędów i anomalii z wielu Sophos Firewall obsługiwanych przez nasz zespół. W ten sposób domeny malware, serwery C&C botnetów i strony phishingowe są filtrowane proaktywnie. Zwiększa to bezpieczeństwo infrastruktury i zauważalnie zmniejsza niepożądany ruch na firewallu.
Czym są Threat Feeds?
Threat Feeds, czyli feedy zagrożeń, to listy wskaźników kompromitacji (IoC), takich jak złośliwe adresy IP, domeny i URL-e. Pochodzą z zewnętrznych źródeł, na przykład od organizacji bezpieczeństwa, konsorcjów branżowych lub społeczności open source. Dzięki ich integracji Sophos Firewall może automatycznie blokować ruch związany ze znanymi zagrożeniami. Zapewnia to proaktywną ochronę, która zatrzymuje ataki, zanim dotrą do sieci. W Sophos Firewall v21 funkcja została rozszerzona o obsługę feedów firm trzecich w ramach Active Threat Response Framework.
Korzyści są jasne:
- Proaktywna ochrona: blokowanie zagrożeń, zanim spowodują szkody.
- Elastyczność: możliwość używania feedów różnych dostawców, dopasowanych do wymagań środowiska.
- Automatyzacja: firewall blokuje automatycznie, bez ręcznej interwencji.
Wymagania dla Threat Feeds
Aby korzystać z funkcji Sophos Firewall Threat Feeds, potrzebny jest pakiet licencyjny Xstream Protection dla Sophos Firewall. Pakiet obejmuje zaawansowane funkcje bezpieczeństwa, które pozwalają firewallowi przetwarzać informacje o zagrożeniach i odpowiednio na nie reagować. Bez tego pakietu nie można używać feedów firm trzecich, ponieważ brakuje wymaganych modułów do obsługi IoC.
Od Free do Ultimate Threat Feed - by Cybora
Wiemy, jak ważne dla bezpieczeństwa sieci są wiarygodne i aktualne informacje o zagrożeniach. Dlatego oferujemy kilka starannie kuratorowanych planów Threat Feed, zoptymalizowanych specjalnie pod Sophos Firewall. Realizujemy to we współpracy z Cybora.
Feedy są budowane z wielu renomowanych źródeł, aby zapewnić szerokie i wiarygodne wykrywanie zagrożeń. Free (Basic) nadaje się dla użytkowników domowych, PoC i testów kompatybilności. Standard rozszerza feed IPv4 o ważne domeny malware i phishingowe. Premium dodaje domeny oraz URL-e z aktualizacją co godzinę. Ultimate jest przeznaczony dla infrastruktury krytycznej i środowisk wysokiego ryzyka z aktualizacją co 15 minut.
Dzięki Sophos Firewall Threat Feeds można podnieść bezpieczeństwo sieci na wyższy poziom. Nasze kuratorowane feedy zdejmują z administratorów ciężar złożonego zarządzania źródłami danych. W zależności od środowiska bezpłatny plan Basic wystarczy do testów, a Standard, Premium i Ultimate są przeznaczone do środowisk produkcyjnych o rosnących wymaganiach dotyczących zakresu i aktualności danych.
Porównanie Threat Feeds - bezpieczeństwo dopasowane do potrzeb
Free / Basic
Free (Basic)
$0/rocznie
- Interwał aktualizacji: co 24 h
- IPv4: 20,000 IPv4
- Wsparcie: Brak wsparcia
Ochrona podstawowa
Standard
$179/rocznie
- Interwał aktualizacji: co 6 h
- IPv4: 85,000 IPv4
- Domeny: Top 5,000 domen
- Wsparcie: Standard
Ochrona zaawansowana
Premium
$349/rocznie
- Interwał aktualizacji: co 1 h
- IPv4: 220,000 IPv4
- Domeny: 45,000 Domeny
- URL: 25,000 URL
- Wsparcie: Priorytet
Ochrona dla krytycznej infrastruktury
Ultimate
$1,999/rocznie
- Interwał aktualizacji: co 15 min
- IPv4: 300,000+ IPv4
- Domeny: 100,000+ Domeny
- URL: 100,000 URL
- Wsparcie: Bardzo wysokie
Avanet Firewall Network
Częścią feedu Premium są dane z naszej globalnie rozproszonej sieci firewalli.
Wiele narzędzi bez problemu wykrywa ataki brute force pochodzące z pojedynczych adresów IP, ale zawodzi przy rozproszonych atakach z botnetów. W takich przypadkach każdy kontrolowany przez atakującego host wykonuje tylko kilka nieudanych prób logowania z niską częstotliwością, dzięki czemu unika wykrycia i blokady.
Niektóre botnety obejmują setki tysięcy zainfekowanych hostów, co pozwala cyberprzestępcom prowadzić masowe ataki brute force bez szybkiego zablokowania.
Dzięki naszej sieci centralnie zbieramy logi, wcześnie wykrywamy podejrzane aktywności i możemy szybko blokować atakujące adresy IP. Powstaje w ten sposób stale aktualizowany Threat Intelligence Feed z adresami IP, które były podejrzane na wielu systemach. Przez korelację i ciągłe zasilanie tych danych w feedzie identyfikujemy adresy IP atakujące infrastrukturę i blokujemy je automatycznie.
Konfiguracja Sophos Firewall Threat Feed
Integracja naszych Sophos Firewall Threat Feeds jest prosta i zajmuje kilka minut. Wszystkie feedy są w pełni kompatybilne z funkcją Third-party Threat Feed w Sophos Firewall i można je dodać przez interfejs webowy firewalla:
- Otwórz menu Protect → Active threat response → Third-party threat feeds → Add
- Wprowadź dane podstawowe
- Name: cybora-premium-ipv4
- Description: Cybora Feed - Premium
- Ustaw typ wskaźnika i reguły
- Indicator type: IPv4 address, Domain lub URL
- Action: Block
- Dodaj URL feedu
- W polu External URL wklej odpowiedni adres z listy feedów Avanet.
- Ustaw interwał pobierania
- Polling interval: 24 h dla wersji Free / 1 h dla wersji Premium. Krótszy czas zwykle nie pomaga, ponieważ standardowy feed aktualizujemy co 24 godziny.
- Skonfiguruj uwierzytelnianie (opcjonalnie)
- Authorization: brak
- Przetestuj połączenie i zapisz
- Wykonaj Test connection → Save.
Szczegółową instrukcję konfiguracji krok po kroku znajdziesz w dokumentacji Sophos.