Saltar para o conteudo
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Com SFOS 22.0 MR1, a Sophos trouxe uma nova função de deteção para a Sophos Firewall: NDR Active Threat Intelligence. O nome soa a mais um grande componente de segurança, mas tecnicamente deve ser enquadrado de forma um pouco mais precisa. A firewall utiliza padrões de deteção do Taegis NDR. Na Sophos Community, o iSensor é referido como motor IPS do universo Secureworks ou Taegis, cujos padrões passam agora a chegar ao SFOS. O objetivo principal não é bloquear imediatamente cada ocorrência de forma rígida, mas tornar visíveis atividades suspeitas na rede e disponibilizá-las para análises XDR, MDR ou SOC.

Esta é uma diferença importante. Muitos administradores associam a segurança da firewall primeiro ao bloqueio: IPS bloqueia, Web Protection bloqueia, DNS Protection bloqueia, Threat Feeds bloqueiam. NDR Active Threat Intelligence funciona de outra forma. A função reconhece tráfego potencialmente malicioso ou suspeito, escreve eventos nos logs e encaminha os dados para o Sophos Data Lake. Aí, podem ser investigados no Sophos Central, no Threat Analysis Center, para Sophos XDR, Sophos MDR ou por um SOC.

Na minha perspetiva, é um complemento útil, mas não um substituto mágico para um verdadeiro conceito de Detection and Response. Quem simplesmente ativa a função e depois nunca olha para logs, deteções ou casos ganha pouco. Mas quem a integra conscientemente em regras de firewall, TLS Inspection, reporting e processos de incidentes recebe sinais adicionais precisamente onde muitos ataques se tornam visíveis: no tráfego de rede.

O que faz o NDR Active Threat Intelligence

NDR Active Threat Intelligence utiliza padrões de deteção com elevado valor de sinal do Taegis NDR. A Sophos Firewall verifica o tráfego adequado contra estes padrões, gera eventos de deteção e encaminha-os para o Data Lake. A Sophos descreve a função como deteção de tráfego potencialmente malicioso e de atacantes ativos dentro da rede.

Na prática, trata-se de situações que nem sempre são suficientemente claras para a prevenção clássica, mas que se tornam importantes para uma investigação:

  • uma ferramenta Windows de confiança como certutil, abusada para downloads suspeitos,
  • um sistema comprometido que faz scan a hosts com SSH, por exemplo no contexto do NoaBot,
  • tráfego HTTP invulgar através de uma porta onde normalmente se esperaria DNS,
  • tráfego de saída que parece indicar exfiltração de dados ou comunicação oculta, por exemplo através da antiga ferramenta finger.

Estes sinais nem sempre são automaticamente um ataque confirmado. É precisamente por isso que a ação na configuração está orientada para Log threats. A firewall recolhe indícios, torna-os visíveis e disponibiliza-os para correlação. Quando se juntam outros sinais, por exemplo eventos de Endpoint, indícios de Identity ou outros logs da firewall, pode daí resultar uma deteção sólida ou um caso.

Porque não é o mesmo que ATP ou Threat Feeds clássicos

Uma pergunta óbvia é: isto é apenas Advanced Threat Protection com outro nome? Provavelmente não. Na Sophos Community, a nova opção nas regras de firewall foi descrita de forma acertada como padrões IPS novos ou melhorados, não como ATP clássico. A diferença é importante porque também clarifica as expectativas em relação à função.

Advanced Threat Protection e Sophos X-Ops Threat Feeds trabalham mais com base em reputação e indicadores. Trata-se de IPs, domínios, URLs maliciosos conhecidos ou indicadores de Command-and-Control. Estes feeds são muito valiosos quando um destino ou remetente já é conhecido como malicioso. Isto também se enquadra no artigo anterior sobre Threat Intelligence Feeds para a firewall.

NDR Active Threat Intelligence observa mais os padrões de tráfego suspeitos. O próprio tráfego fornece indícios: utilização invulgar de protocolos, downloads suspeitos, comportamento de Lateral Movement ou comunicação que não corresponde à utilização esperada. Isto está mais próximo de Network Detection and Response do que de uma simples blocklist.

Há ainda uma segunda diferença importante: ATP é pensado a nível de sistema, enquanto NDR Active Threat Intelligence é ativado adicionalmente nas regras de firewall relevantes. Ou seja, decide-se por regra ou por caminho de tráfego qual o tráfego que deve ser analisado com estes padrões.

Requisitos e plataformas suportadas

NDR Active Threat Intelligence é uma função para Sophos Firewall 22.0 MR1. Nas Release Notes, é listada para a versão 22.0 MR1 Build 490, publicada em 20 de abril de 2026.

Para a operação, estes pontos são especialmente relevantes:

  • É necessária uma Sophos Firewall com Xstream Protection Bundle.
  • São suportadas XGS Series Firewalls, incluindo Gen.1 e Gen.2, bem como deployments virtuais, de software e cloud.
  • São suportados, entre outros, VMware, KVM, Hyper-V, Azure, AWS, XEN e appliances de software.
  • Não são suportadas XGS 88, XGS 88w, XGS 87 e XGS 87w.
  • Para análises XDR, é necessária uma licença Sophos XDR.
  • Para análises MDR, é necessário MDR Essentials ou MDR Complete.
  • Para Sophos Central Reporting, reports e logs têm de ser enviados para o Sophos Central.
  • A firewall tem de estar registada no Sophos Central se quiser usar as vistas do Central.
  • Segundo a indicação da Techvids, a Sophos Firewall Home Edition não é atualmente suportada.

O ponto relativo às XGS 87 e XGS 88 é importante, mas não é a única verificação operacional. Os modelos desktop mais pequenos não são suportados nesta função, mesmo que possam utilizar versões SFOS atuais noutros contextos. Quem trabalha em pequenas sucursais ou filiais com XGS 87, XGS 87w, XGS 88 ou XGS 88w não deve, portanto, planear NDR Active Threat Intelligence como componente de proteção disponível. Ao mesmo tempo, a licença por si só não chega: Central Reporting, ligação ao Data Lake e IPS Logging têm de estar corretamente ativados, caso contrário o valor operacional permanece reduzido.

NDR Active Threat Intelligence, NDR Essentials ou Sophos Central NDR?

Os nomes são parecidos, mas não significam a mesma coisa. NDR Essentials é a função de flows próxima da firewall: a Sophos Firewall recolhe flows de rede, a análise acontece na cloud da Sophos e não é necessária uma VM de sensor separada. Isto é útil em ambientes onde a firewall vê os fluxos de dados relevantes e se quer começar sem uma appliance adicional.

NDR Active Threat Intelligence é o novo componente do lado da firewall. Usa padrões Taegis/iSensor curados e é adicionalmente ativado nas regras de firewall relevantes. Não se trata de uma appliance NDR separada, mas de sinais de deteção e logging sobre o tráfego que a firewall processa efetivamente.

Sophos Central NDR é, por outro lado, o produto NDR autónomo com uma VM de sensor virtual dedicada. Este sensor é normalmente ligado de forma passiva através de porta SPAN, Mirror ou TAP e, por isso, também consegue ver tráfego Este-Oeste interno, dispositivos unmanaged, sistemas IoT/OT ou assets não autorizados que, dependendo da arquitetura, podem nunca passar pela firewall. Em resumo: NDR Essentials e NDR Active Threat Intelligence alargam a visibilidade da firewall. Sophos Central NDR fornece a visão de rede mais ampla através da sua própria VM de sensor.

Onde ativar a função

A configuração base é feita na Sophos Firewall em:

Active Threat Response > NDR Essentials and Active Threat Intelligence

O item de menu chamava-se anteriormente apenas NDR Essentials. Com SFOS 22.0 MR1, foi expandido e renomeado para NDR Essentials and Active Threat Intelligence, porque agora ambos os domínios estão reunidos nesse ponto.

Ativar Sophos Firewall NDR Essentials and Active Threat Intelligence
NDR Essentials e NDR Active Threat Intelligence são configurados em Active Threat Response.

Aí, ativa-se NDR Active Threat Intelligence e escolhe-se um grau mínimo de severidade. A Sophos refere cinco níveis de Severity:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

A seleção determina quais os padrões considerados. Se selecionar Warning, todos os padrões de Critical até Warning são considerados. Se selecionar Critical, apenas os padrões críticos são avaliados. Isto parece banal, mas é importante em operação. Um limiar demasiado alto pode ocultar indicadores iniciais interessantes. Um limiar demasiado baixo pode gerar significativamente mais eventos em redes maiores.

A minha recomendação: não começar às cegas com a definição mais sensível. Melhor é um piloto definido com poucas regras relevantes, logging limpo e avaliação posterior. Depois, pode decidir-se se o Severity Level está adequado ou se o rollout deve ser alargado gradualmente.

A seguinte demo da Sophos mostra de forma compacta a ativação e o processo de teste na GUI da firewall:

As regras de firewall são decisivas

Depois de ligar a função, a firewall relembra que NDR Active Threat Intelligence também tem de ser ativado nas regras de firewall adequadas. Este é um dos pontos mais importantes, porque caso contrário a função não será aplicada ao tráfego pretendido.

Nas regras, encontra a definição em Rules and policies > Firewall rules. Dentro da respetiva regra, faça scroll até à secção Other security features.

Aí, é necessário ativar Scan with NDR Active Threat Intelligence. Este passo tem de ser feito para cada regra cujo tráfego deva ser analisado. Isto aplica-se tipicamente a regras para tráfego de utilizadores para a Internet, tráfego de servidores, tráfego DMZ ou determinados caminhos de comunicação internos.

Regra de Sophos Firewall com Scan with NDR Active Threat Intelligence
Nas regras de firewall, Scan with NDR Active Threat Intelligence tem de ser ativado adicionalmente.

Na instrução da Techvids, é também indicado que Scan HTTP and decrypted HTTPS deve estar ativado e que as SSL/TLS Inspection Rules devem estar em Decrypt quando se pretende verificar tráfego HTTPS desencriptado. Isto é lógico: quanto menos a firewall vê do tráfego, menos consegue reconhecer de forma útil. Ao mesmo tempo, TLS Inspection é sempre um projeto operacional e não apenas mais um clique.

Em resumo: a função global NDR Active Threat Intelligence por si só não chega. A opção da regra, HTTPS Scanning e SSL/TLS Inspection têm de estar alinhados, caso contrário a visibilidade permanece limitada.

Não ativar tudo de uma vez

Eu não lançaria NDR Active Threat Intelligence imediatamente sobre todas as regras e todas as zonas. Tecnicamente, isto pode funcionar em muitos ambientes, mas operacionalmente raramente é o melhor ponto de partida. Mais sensato é um rollout por etapas:

  1. Verificar regras de utilizadores para a Internet.
  2. Verificar regras de servidores para a Internet.
  3. Verificar DMZ e serviços publicados.
  4. Verificar regras internas de segmentação com risco elevado.
  5. Avaliar logs e deteções após alguns dias.

Assim, percebe-se cedo se determinadas aplicações geram padrões suspeitos, se TLS Inspection funciona corretamente e se o volume de eventos se mantém operacionalmente controlável.

Onde ver as deteções

Na própria firewall, há várias formas de ver as deteções. Diretamente na área NDR Active Threat Intelligence, um widget de resumo mostra o número total de deteções dos últimos sete dias e uma divisão por Severity.

Para detalhes, pode abrir os NDR Active Threat Intelligence Logs. A Sophos remete aqui para o tipo de log IPS. Em alternativa, pode filtrar no Log Viewer por categoria:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Além disso, as avaliações são visíveis em Reports > Network & Threat ou em ataques de Intrusion.

No Sophos Central, existem duas perspetivas importantes:

  • Firewall Management > Report Generator, aí com Report Template IPS
  • dependendo da utilização de XDR ou MDR, Threat Analysis Center > Detections e, se necessário, Cases

O primeiro caminho é descrito na documentação da Sophos. O segundo caminho vem sobretudo da demo Techvids e é interessante para ambientes XDR e MDR. Aí, vê dados brutos como Device Serial ID, Source IP e Destination IP e pode correlacionar a deteção da firewall com outros sinais.

O que deve acontecer quando há uma ocorrência

Uma ocorrência de NDR Active Threat Intelligence é um sinal de investigação. Não deve ser considerada automaticamente concluída só porque existe uma entrada de log algures. Num bom modelo operacional, pelo menos estas perguntas estão clarificadas:

  • Quem vê estas Detections regularmente?
  • A partir de que Severity é criado um Ticket ou Case?
  • Que logs são verificados adicionalmente?
  • Existe um passo de Runbook para Source IP, Destination IP e utilizadores afetados?
  • É verificado se o mesmo host mostra anomalias de Endpoint, DNS, Web ou Identity?
  • Existe uma decisão sobre quando isolar um dispositivo ou ajustar uma regra de firewall?

Especialmente importante: se Sophos MDR estiver em uso, deve ser claro que papel assumem os analistas MDR e que ações têm de ser decididas internamente. Se Sophos XDR for operado sem MDR, é preciso haver internamente alguém que leia e classifique realmente estas deteções.

Exemplos da prática

Os exemplos mais interessantes não são os ataques ruidosos que qualquer IPS reconhece de qualquer forma. Interessantes são os sinais silenciosos:

Living-off-the-Land

Quando uma ferramenta legítima como certutil é usada para um download suspeito, à primeira vista isso não parece necessariamente malware. Precisamente estas técnicas de Living-off-the-Land são populares em ataques reais, porque abusam de ferramentas já existentes no sistema operativo e, por isso, chamam menos a atenção.

NDR Active Threat Intelligence pode tornar esses padrões visíveis. Isto não significa automaticamente que cada ocorrência indique um comprometimento. Mas significa: este host merece atenção.

Lateral Movement

Quando um sistema infetado começa a fazer scan a hosts SSH, isso pode ser um indício de movimento lateral. A Sophos menciona na documentação, entre outros, o NoaBot como exemplo deste padrão. Em ambientes segmentados, um cliente não deveria, de qualquer forma, conseguir alcançar livremente todos os servidores ou sistemas de gestão. Quando estas tentativas se tornam visíveis, isso não é apenas um tema de deteção, mas também um indício sobre segmentação.

Aqui encaixa a relação com o artigo Sophos NDR - Eliminar pontos cegos na rede: o tráfego de rede continua a ser um local onde os atacantes deixam rastos, mesmo quando os sinais de Endpoint estão incompletos.

Utilização invulgar de protocolos

HTTP sobre uma porta DNS ou ligações de saída que tentam disfarçar exfiltração de dados são exemplos típicos de “isto é tecnicamente possível, mas operacionalmente errado”. A Sophos menciona no contexto da exfiltração de dados, entre outros, tráfego através de finger como exemplo. Estes padrões raramente são avaliados de forma limpa com uma única regra Allow/Deny. Mas como sinal de deteção são valiosos.

O que a função não substitui

NDR Active Threat Intelligence é um bom sensor adicional, mas não substitui o trabalho de segurança fundamental.

A função não substitui:

  • regras de firewall limpas,
  • segmentação contra Lateral Movement,
  • planeamento de TLS Inspection,
  • IPS, Web e DNS Protection,
  • Endpoint Detection and Response,
  • Sophos MDR ou um SOC próprio,
  • um SIEM com Use Cases claros,
  • processos de Patch e Hotfix,
  • revisões regulares da configuração da firewall.

A função também não substitui automaticamente Sophos Central NDR com uma VM de sensor dedicada. Esta distinção está descrita acima e deve ser avaliada conscientemente antes de uma decisão de arquitetura.

A minha avaliação

Considero a função interessante porque reduz uma lacuna entre a proteção clássica da firewall e Security Operations. A firewall já se encontra numa posição forte na rede. Se aí correrem padrões adicionais de deteção NDR e os dados ficarem visíveis no Central, XDR ou MDR, surge verdadeiro valor acrescentado.

Mas o valor não nasce apenas por ligar a função. Nasce de três coisas:

  • regras de firewall adequadas,
  • visibilidade suficiente em HTTP e HTTPS desencriptado,
  • um processo que avalia deteções.

Quem já utiliza Sophos Central, Sophos XDR ou Sophos MDR deve avaliar NDR Active Threat Intelligence e ativá-lo num piloto controlado. Quem opera a firewall de forma isolada e não usa Central Reports nem processos de Security Operations deve criar primeiro as bases. Caso contrário, a função produz, na melhor das hipóteses, logs interessantes que ninguém vê.

A minha recomendação é, por isso, pragmática: começar primeiro com poucas regras relevantes, verificar IPS Logging, testar a ligação ao Central e depois decidir a amplitude do rollout. Para eventos de teste controlados, orientar-me-ia pela demo Techvids. Na Sophos Community foi mencionado que testes dedicados de NDR Active Threat Intelligence para sophostest.com ainda deverão ser acrescentados.

Checklist para administradores

Verificar imediatamente

  • A firewall corre SFOS 22.0 MR1 ou mais recente?
  • O Xstream Protection Bundle está ativo?
  • A firewall está registada no Sophos Central?
  • Reports e logs são enviados para o Sophos Central?
  • IPS Logging está ativado?
  • Existem regras de firewall relevantes nas quais a função possa ser testada?

Ter em conta no rollout

  • Ativar NDR Active Threat Intelligence em Active Threat Response.
  • Escolher conscientemente o Severity Level.
  • Ativar Scan with NDR Active Threat Intelligence por cada regra de firewall relevante.
  • Ativar HTTP Scanning e HTTPS desencriptado apenas onde estiver operacionalmente bem planeado.
  • Verificar SSL/TLS Inspection Rules e documentar exceções.
  • Controlar deteções na firewall e no Sophos Central.
  • Acionar e documentar Test Events de forma controlada.

Clarificar em operação

  • Quem observa deteções e casos?
  • Que Severity gera um Ticket?
  • Que hosts são investigados prioritariamente quando há ocorrências?
  • Que logs são correlacionados?
  • Quando é isolado um dispositivo?
  • Como são documentados False Positives?
  • Com que frequência são revistos regras, Severity e volume de eventos?

Conclusão

Sophos Firewall NDR Active Threat Intelligence não é apenas mais uma etiqueta de marketing para uma blocklist existente. A função leva padrões de deteção Taegis NDR diretamente para a Sophos Firewall e torna atividades de rede suspeitas mais visíveis. Isto é especialmente interessante para ambientes XDR, MDR e SOC, porque os sinais da firewall podem assim entrar de forma mais forte nas investigações.

A restrição mais importante mantém-se: trata-se sobretudo de deteção e logging. Quem espera bloqueio imediato tem de enquadrar corretamente a função. Quem leva Security Operations a sério, pelo contrário, recebe um sinal adicional que pode ser útil precisamente em Living-off-the-Land, Lateral Movement e utilização invulgar de protocolos.

Para ambientes produtivos, eu começaria por isso com um piloto curto, um processo claro de Logging e Cases e, depois, um rollout planeado para as regras realmente relevantes. Assim, NDR Active Threat Intelligence pode fazer exatamente aquilo que as firewalls modernas têm hoje de fazer: não só permitir ou bloquear tráfego, mas também tornar ataques visíveis mais cedo.

FAQ

O que é Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence é uma função de deteção em Sophos Firewall 22.0 MR1. A firewall utiliza padrões de deteção Taegis NDR, reconhece tráfego suspeito, escreve eventos nos logs e encaminha-os para o Sophos Data Lake.

NDR Active Threat Intelligence bloqueia ataques automaticamente?

A função está orientada sobretudo para Logging e Detection. A ação está definida como Log threats. As ocorrências servem como sinal de investigação para logs da firewall, Sophos Central, XDR, MDR ou análises SOC.

Que licença é necessária?

Para NDR Active Threat Intelligence, é necessário um Xstream Protection Bundle. Para análises avançadas em Sophos XDR ou Sophos MDR, são também necessárias as respetivas licenças XDR ou MDR.

Que firewalls são suportadas?

São suportadas XGS Series Firewalls, incluindo Gen.1 e Gen.2, bem como deployments virtuais, de software e cloud. Não são suportadas XGS 88, XGS 88w, XGS 87 e XGS 87w.

Onde se ativa a função?

A função base é ativada em Active Threat Response > NDR Essentials and Active Threat Intelligence. Além disso, é necessário ativar Scan with NDR Active Threat Intelligence nas regras de firewall relevantes.

NDR Active Threat Intelligence é o mesmo que Sophos NDR?

Não. NDR Active Threat Intelligence leva padrões de deteção NDR para a Sophos Firewall. Um sensor Sophos NDR dedicado é uma arquitetura separada para uma visão de rede mais ampla, tipicamente através de SPAN/TAP e Sophos Central.

Com NDR Active Threat Intelligence ainda são necessários Third-Party Threat Feeds?

Sim, em muitos ambientes continuam a ser. NDR Active Threat Intelligence reconhece padrões de tráfego suspeitos e fornece sinais de deteção. Third-Party Threat Feeds como os da Cybora fornecem, pelo contrário, indicadores concretos como IPs, domínios ou URLs maliciosos, que a firewall pode bloquear ativamente. Ambos se complementam: NDR ajuda a reconhecer padrões suspeitos, Threat Feeds reduzem tráfego malicioso conhecido logo no perímetro da rede.

Onde se veem as deteções?

As deteções são visíveis na firewall na área NDR Active Threat Intelligence, no Log Viewer, em Reports > Network & Threat e em Sophos Central Firewall Reporting. Em ambientes XDR ou MDR, podem também aparecer no Threat Analysis Center em Detections ou Cases.

Fontes

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.