Saltar para o conteudo
Avanet

Operar Sophos Firewall NDR e Active Threat Response

Sophos Firewall

O Sophos Firewall pode fornecer informações adicionais sobre tráfego de rede suspeito com NDR Essentials e NDR Active Threat Intelligence. Isso é útil quando se deseja não apenas bloquear ataques, mas também detetá-los, investigá-los e processá-los em Sophos Central, XDR, MDR ou um SIEM.

É importante ter expectativas claras: o NDR no firewall não é um botão mágico que resolve automaticamente todos os problemas. A funcionalidade requer licenças adequadas, tráfego visível, tipos de log ativados, regras de firewall selecionadas conscientemente e um processo para avaliar os acertos. Sem esta parte operacional, apenas serão gerados logs adicionais.

Para indicadores clássicos de comprometimento, como endereços IP maliciosos, domínios ou URLs, é melhor começar por Configurar e operar com segurança os Threat Feeds do Sophos Firewall. Este artigo concentra-se no NDR Essentials, NDR Active Threat Intelligence e na avaliação operacional.

Distinguir claramente os termos

A Sophos utiliza vários nomes semelhantes. Para os administradores, é importante distinguir, pois cada funcionalidade opera de forma diferente.

FunçãoO que aconteceUtilidade típica
NDR EssentialsO firewall analisa dados de fluxo selecionados e deteta IoCs como endereços IP ou domínios.Indicações baseadas em rede sem VM de sensor separada.
NDR Active Threat IntelligenceO firewall utiliza padrões NDR curados da Taegis, deteta tráfego suspeito, regista eventos e envia-os para o Sophos Data Lake.Deteção de alto sinal para XDR, MDR ou operações de segurança.
Sophos Central NDRProduto NDR separado com sua própria VM de sensor, tipicamente através de SPAN, Mirror ou TAP.Visão mais ampla sobre tráfego Leste-Oeste, dispositivos não geridos e movimentos internos de rede.
Threat FeedsListas de IoC como IPs, domínios ou URLs são verificadas contra o tráfego.Bloquear ou monitorizar alvos ou fontes maliciosas conhecidas.

NDR Essentials e NDR Active Threat Intelligence expandem a visão do firewall. O Sophos Central NDR é uma arquitetura própria com sensor separado. Os Threat Feeds de terceiros são outro componente: trabalham baseados em indicadores e podem bloquear diretamente dependendo da ação.

Quando a utilização é sensata

NDR e Active Threat Response são particularmente úteis quando um firewall não é operado apenas como um filtro de pacotes, mas como parte de um processo de deteção e resposta.

Cenários típicos:

  • O tráfego da Internet de clientes deve ser verificado quanto a alvos ou padrões suspeitos.
  • Servidores ou sistemas DMZ devem fornecer sinais de deteção adicionais.
  • XDR, MDR ou SOC devem incluir eventos de firewall em investigações.
  • Vários firewalls devem ser avaliados centralmente no Sophos Central ou num SIEM.
  • Já existe um processo para alarmes, tickets, falsos positivos e escalonamento.

É menos sensato usar se ninguém verificar os eventos, se os logs não forem encaminhados ou se as regras de firewall relevantes não forem ajustadas. Nesse caso, Central Firewall Reporting ou Enviar Syslog do Sophos Firewall para SIEM são mais importantes.

Pré-requisitos

Antes da ativação, devem ser verificados os seguintes pontos:

  • O firewall está a funcionar numa versão SFOS suportada.
  • O Xstream Protection Bundle está ativo.
  • O firewall está registado no Sophos Central, se o Central Reporting, XDR ou MDR forem utilizados.
  • Enviar relatórios e logs para o Sophos Central está ativo, se as deteções devem ser visíveis no Sophos Central.
  • Os tipos de log relevantes estão ativados em System services > Log settings.
  • Para NDR Active Threat Intelligence, o registo de IPS está ativo.
  • Para NDR Essentials, o registo de Active-Threat-Response está ativo.
  • Existe um proprietário definido para revisão, ajuste, exceções e escalonamento.

Antes da ativação, devem ser verificadas as limitações da plataforma. O NDR Essentials não suporta implementação HA Active-Active. O NDR Active Threat Intelligence não é suportado nos modelos XGS 87, XGS 87w, XGS 88 e XGS 88w. Em ambientes HA, deve-se primeiro verificar Compreender as variantes de cluster HA do Sophos Firewall.

Configurar NDR Essentials

O NDR Essentials é configurado na área Protect > Active threat response ou Active Threat Response > NDR Essentials and Active Threat Intelligence. A designação exata depende da versão do SFOS.

Procedimento básico:

  1. Ativar NDR Essentials.
  2. Adicionar interfaces relevantes.
  3. Escolher a localização do data center para análise.
  4. Definir conscientemente o mínimo de pontuação de ameaça.
  5. Verificar a ação. O NDR Essentials deteta e regista inicialmente.
  6. Abrir System services > Log settings.
  7. Ativar o registo para Active threat response.
  8. Guardar e, após alguns minutos, verificar o Log Viewer, Relatórios ou Central.

Nas interfaces, não se deve selecionar tudo indiscriminadamente. Interfaces onde trafegam clientes, servidores ou tráfego DMZ relevante são sensatas. Interfaces WAN não são o local certo para esta avaliação NDR; o planeamento deve concentrar-se em zonas LAN, DMZ e personalizadas. Interfaces não suportadas, como RED ou XFRM, também devem ser consideradas antes da implementação.

Se não forem selecionadas interfaces, o NDR Essentials não deteta novos IoCs a partir do tráfego. No entanto, o firewall pode continuar a trabalhar com IoCs já detetados. Isso é fácil de ignorar em operação.

Configurar NDR Active Threat Intelligence

O NDR Active Threat Intelligence utiliza padrões de deteção NDR curados da Taegis. O firewall deteta e regista eventos correspondentes e encaminha-os para o Sophos Data Lake. Esses sinais podem então ser investigados no Sophos Central, XDR, MDR ou num contexto SOC.

Procedimento básico:

  1. Abrir Active Threat Response > NDR Essentials and Active Threat Intelligence.
  2. Ativar NDR Active threat intelligence.
  3. Escolher o nível mínimo de severidade.
  4. Verificar Action. A ação está definida para Log threats.
  5. Abrir System services > Log settings.
  6. Ativar o registo de IPS.
  7. Guardar.
  8. Depois, abrir as regras de firewall relevantes.
  9. Em Other security features, ativar a opção Scan with NDR Active threat intelligence.
  10. Guardar alterações e validar com tráfego definido.

O último ponto é crucial. A ativação global por si só não é suficiente. O NDR Active Threat Intelligence deve ser ativado em cada regra de firewall cujo tráfego deve ser analisado.

Quais regras selecionar primeiro

Um bom lançamento não começa em todas as regras ao mesmo tempo. É melhor um piloto controlado com tráfego bem compreendido.

Pontos de partida sensatos:

  • Redes de clientes com acesso à Internet.
  • Redes de servidores com acesso à Internet de saída.
  • Regras DMZ com serviços publicados.
  • Regras para segmentos internos particularmente críticos.
  • Regras com conceito de IPS, Web ou TLS Inspection já ativado.

Regras sem registo claro, sem proprietário ou com tráfego muito amplo e não classificado não são um bom começo. Primeiro, a base da regra deve ser limpa. Para análise de regras e correspondência, Testar regra de firewall com Log Viewer, Policy Test e Packet Capture é adequado.

Visibilidade e TLS Inspection

Os sinais NDR são tão bons quanto a visibilidade do firewall. Se o tráfego estiver criptografado e o firewall apenas vir o IP de destino ou SNI, alguns padrões permanecem invisíveis. Se a inspeção Web ou TLS for bem planeada, o firewall pode verificar mais contexto.

Isso não significa que a TLS Inspection deva ser ativada em todo o lado imediatamente. A TLS Inspection é um projeto operacional próprio com certificados, exceções, privacidade, desempenho e esforço de suporte. Para um lançamento planeado, Introduzir corretamente a TLS Inspection no Sophos Firewall é adequado.

Também o QUIC e HTTP/3 podem influenciar conceitos de Web e Inspection. Se o tráfego do navegador passar por caminhos clássicos de inspeção HTTPS, deve-se verificar Bloquear corretamente o protocolo QUIC e HTTP/3 no Sophos Firewall.

Logs e avaliação

Sem avaliação de logs, o NDR é de pouca utilidade. Dependendo da função, diferentes áreas de log são relevantes.

ÁreaOnde verificar
NDR EssentialsLogs de resposta a ameaças ativas, indicadores de ameaças, Central Reporting ou SIEM
NDR Active Threat IntelligenceLogs de IPS, filtro do Log Viewer Category is NDR Active threat intelligence, Central Firewall Reporting
Avaliação XDR/MDRSophos Central Threat Analysis Center, Deteções ou Casos
Correlação a longo prazoSyslog, SIEM, plataforma SOC ou MDR

Para o Sophos Central, o firewall deve enviar logs e relatórios para o Central. O procedimento está em Ativar e operar o Sophos Firewall Central Reporting. Para um SIEM próprio, o tipo de log adequado deve ser encaminhado por Syslog e analisado no sistema de destino. Apenas ativar a função não prova que as deteções serão encontradas mais tarde.

Pontos de verificação após a ativação:

  • Os registos locais aparecem no Log Viewer?
  • Os logs de Active-Threat-Response ou IPS são enviados para o Central?
  • Os logs chegam ao SIEM?
  • Campos como Source, Destination, Firewall, Rule ID e Categoria são reconhecidos corretamente?
  • Existe um dashboard ou pesquisa para acertos NDR/ATR?
  • Está claro quem avalia os acertos?

O que deve acontecer em caso de acerto

Um acerto é primeiro um sinal de investigação. Nem todo acerto é automaticamente um ataque confirmado, mas cada acerto relevante precisa de um procedimento.

Procedimento mínimo:

  1. Registar IP de origem, IP de destino, utilizador, regra e hora.
  2. Verificar no Log Viewer qual regra e módulo estavam envolvidos.
  3. Procurar no Central, XDR, MDR ou SIEM por outros eventos do mesmo host.
  4. Correlacionar logs de Endpoint, DNS, Web e autenticação.
  5. Decidir se é necessária isolamento, bloqueio de firewall, exceção de Threat Feed ou análise adicional.
  6. Documentar o resultado.

Em caso de falsos positivos repetidos, não se deve definir imediatamente uma exceção ampla. É melhor uma exceção restrita com motivo, ticket e data de revisão. Exceções em Active Threat Response podem remover a eficácia da proteção e, portanto, devem fazer parte de um processo controlado.

Erros típicos

  • NDR Active Threat Intelligence é ativado globalmente, mas não nas regras de firewall.
  • NDR Essentials é ativado, mas não são selecionadas interfaces adequadas.
  • O registo de IPS ou Active-Threat-Response não está ativo.
  • Central Reporting ou Syslog não está configurado, embora se espere avaliação central.
  • Deteções são geradas, mas ninguém as verifica.
  • A severidade ou pontuação de ameaça é definida como muito sensível, gerando ruído desnecessário.
  • Exceções são definidas de forma muito ampla.
  • HA Active-Active ou modelos XGS pequenos são planeados, embora a função não seja suportada.
  • TLS Inspection é tratada como um detalhe, em vez de ser planeada adequadamente.

Lista de verificação

  • Versão SFOS e licença verificadas.
  • Appliance ou plataforma suportada confirmada.
  • Modo HA verificado.
  • Registo no Sophos Central verificado, se o Central Reporting, XDR ou MDR for utilizado.
  • Tipos de log relevantes ativados em System services > Log settings.
  • Interfaces NDR Essentials selecionadas conscientemente.
  • Localização do data center e pontuação mínima de ameaça documentadas.
  • NDR Active Threat Intelligence ativado.
  • Regras de firewall relevantes com Scan with NDR Active threat intelligence ativadas.
  • Log Viewer, Central Reporting ou SIEM verificados para acertos.
  • Proprietário, alarme, processo de falso positivo e intervalo de revisão documentados.

Perguntas frequentes

O NDR Essentials é o mesmo que o NDR Active Threat Intelligence?

Não. O NDR Essentials analisa fluxos de tráfego de firewall selecionados e deteta IoCs como endereços IP ou domínios. O NDR Active Threat Intelligence utiliza padrões NDR curados da Taegis, regista eventos suspeitos e envia-os para o Sophos Data Lake.

O NDR Active Threat Intelligence bloqueia automaticamente?

A função é principalmente voltada para deteção e registo. A ação está definida para Log threats. Os acertos devem ser avaliados em logs, Central, XDR, MDR ou SIEM e depois tratados operacionalmente.

Por que não se veem acertos do NDR Active Threat Intelligence?

Frequentemente, a função está ativa globalmente, mas não nas regras de firewall adequadas. Além disso, o registo de IPS deve estar ativo e o tráfego afetado deve passar por uma regra onde Scan with NDR Active threat intelligence está ativado.

Ainda é necessário usar Threat Feeds de terceiros com o NDR?

Sim, em muitos ambientes as funções se complementam. O NDR fornece sinais de deteção e reconhecimento de padrões. Os Threat Feeds de terceiros podem monitorizar ou bloquear IPs, domínios ou URLs maliciosos conhecidos com base em listas externas.

O NDR do firewall substitui um SIEM ou MDR?

Não. O NDR do firewall fornece sinais adicionais. Para correlação a longo prazo, alarme, tratamento de casos e resposta a incidentes, ainda são necessários Central Reporting, XDR, MDR, SIEM ou um processo interno claro.