Configurar e operar Sophos Firewall Threat Feeds
Os Sophos Firewall Threat Feeds da Cybora fornecem Threat Intelligence Feeds contínuos que importam automaticamente Indicators of Compromise (IoCs) para a Sophos Firewall. Estes IoCs são, por exemplo, endereços IP maliciosos, domínios de malware, URLs de phishing ou servidores botnet C&C conhecidos.
Para o contexto geral de hardening, consultar o hub Sophos Firewall Hardening: melhores práticas para uma configuração segura.
Isto elimina grande parte do esforço manual de manutenção. Em vez de manter manualmente endereços IP ou domínios de atacantes em host objects, regras de firewall ou block lists, a firewall obtém os dados automaticamente a partir de um feed curado e pode bloquear o tráfego correspondente.
Isto é particularmente valioso assim que uma firewall fica visível a partir do exterior. IPs públicos, regras DNAT, publicações WAF, VPN portals ou acessos WebAdmin são muitas vezes encontrados rapidamente por bots, scanners e frameworks de exploração automatizadas. Um bom Threat Feed reduz esse tráfego indesejado antes de ele entrar mais fundo no ambiente.
Em resumo: Threat Feeds são fortes quando são entendidos como processo operacional. Selecionar feed, definir corretamente Indicator type, testar primeiro com visibilidade, depois bloquear, verificar hits regularmente e tratar false positives de forma limpa. Integrar simplesmente uma lista grande não é uma boa estratégia de segurança.
Enquadramento
O que são Threat Feeds
Threat Feeds ou feeds de ameaças são listas de indicadores de comprometimento. Na prática, são indícios de infraestrutura maliciosa conhecida:
- IP addresses: scanners, botnets, sistemas comprometidos ou Command-and-Control servers.
- Domains: domínios de malware, phishing ou C2.
- URLs: caminhos maliciosos concretos ou links de download.
Consoante o fornecedor, estes feeds vêm de organizações de segurança, consórcios de setor, comunidades open source, threat intelligence comercial, honeypots ou sensores próprios. No Sophos Firewall v21, a função foi alargada com feeds de terceiros integrados através do Active Threat Response Framework.
As vantagens são claras:
- Proteção proativa: bloquear ameaças antes de causarem danos.
- Flexibilidade: usar feeds de diferentes fornecedores, ajustados a requisitos individuais.
- Automatização: a firewall bloqueia automaticamente; deixa de ser necessária intervenção manual.
- Alívio: tráfego indesejado é descartado mais cedo e nem chega aos serviços internos.
Não misturar módulos de Threat Feed
Em Active threat response existem várias funções lado a lado. Os nomes soam parecidos, mas resolvem tarefas diferentes.
- Sophos X-Ops Threat Feeds: indicadores Sophos para ameaças conhecidas. Em operação, ativar a função Network Protection e verificar logs.
- MDR Threat Feeds: informação de ameaças a partir do contexto Sophos MDR/XDR. Em operação, ligar o processo MDR/Central ao logging da firewall.
- Third-Party Threat Feeds: listas IoC externas, como Cybora, como feed de IP, domínio ou URL. Em operação, assumir responsabilidade por qualidade do feed, ação, sincronização e exceções.
- NDR Essentials / NDR Active Threat Intelligence: deteção de padrões de tráfego suspeitos em vez de uma lista IoC pura. Em operação, avaliar sinais de deteção e não confundir com uma block list.
Este artigo trata sobretudo de Third-Party Threat Feeds. Para NDR e Active Threat Intelligence é adequado Operar Sophos Firewall NDR e Active Threat Response.
Áreas típicas de utilização
Threat Feeds não são interessantes apenas para tráfego de saída de clientes. Na prática, serviços publicamente acessíveis mostram acessos automatizados muito depressa.
- DNAT para servidores internos: port forwards são rapidamente analisados por scanners. Um feed IPv4 pode bloquear fontes maliciosas conhecidas antes de chegarem ao servidor interno.
- Publicações WAF: servidores web veem frequentemente tráfego de bots, scans de CVE, probes de CMS e credential stuffing. Threat Feeds acrescentam reputação às regras WAF.
- VPN Portal, User Portal e WebAdmin: portais devem ser protegidos primeiro através de Device Access, MFA e redes de origem. Threat Feeds reduzem adicionalmente fontes de ataque conhecidas.
- Tráfego de saída de clientes: feeds de domínios e URLs podem bloquear destinos conhecidos de malware, phishing ou C2.
- Endereços WAN muito analisados: se um IP público vê continuamente tráfego de bots, um bom feed IPv4 pode aliviar de forma sensível a firewall e os logs.
Desde SFOS 22, Threat Feeds são especialmente interessantes para tráfego de entrada encaminhado, como DNAT e WAF. A firewall consegue assim reconhecer fontes maliciosas conhecidas também antes de serviços publicados. Em instalações mais antigas ou versões mistas, este ponto deve ser verificado conscientemente antes de assumir o mesmo grau de proteção.
Threat Feeds não substituem uma publicação limpa. Se um serviço estiver acessível por DNAT ou WAF, devem continuar a ser abertos apenas os ports necessários, restringidas redes ou países de origem, ativadas regras IPS/WAF e verificados logs. Threat Feeds são um bloco adicional de proteção, não uma autorização para regras Any amplas.
Requisitos e licença
Para usar Third-Party Threat Feeds na Sophos Firewall é necessário o Xstream Protection Bundle. Para este módulo não são necessárias licenças Sophos Central adicionais. Outros módulos Threat Feed têm requisitos próprios: Sophos X-Ops Threat Feeds requer Network Protection, MDR Threat Feeds requer também Sophos MDR Essentials ou MDR Complete no Sophos Central e NDR Essentials requer Xstream Appliance Bundle.
Adicionalmente, antes do rollout deve verificar-se:
- A firewall está numa versão SFOS com suporte para Third-Party Threat Feed.
- A firewall consegue chegar à feed URL por DNS e HTTPS.
- Por feed é usado um Indicator type claro, por exemplo
IPv4 address,DomainouURL. - O feed é um ficheiro de texto simples com um indicador por linha.
- Intervalos IP, endereços IPv6, endereços de rede, domínios wildcard e expressões regulares não são o formato adequado para Third-Party Threat Feeds.
- O logging de Active Threat Response está ativado.
- Está claro se o feed será primeiro apenas observado ou se vai bloquear diretamente.
Recomendação prática: introduzir novos feeds primeiro de forma controlada. Se a firewall o permitir, começar com uma fase de observação, verificar hits no Log Viewer e só depois mudar para bloqueio. Assim se percebe cedo se sistemas legítimos seriam afetados.
URL-Feeds e TLS Inspection
Feeds de IP e domínio são normalmente fáceis de compreender. URL-Feeds são um pouco mais exigentes, porque a firewall tem de ver o caminho de URL relevante. Em tráfego HTTPS, isto nem sempre é possível sem desencriptação adequada.
Se URL-Feeds forem usados em produção, deve verificar-se se Web Proxy, DPI Engine e TLS Inspection se ajustam ao ambiente. Sem visibilidade limpa sobre o tráfego HTTPS, um URL-Feed pode ser menos eficaz do que esperado.
Planeamento antes do rollout
Monitor ou Block?
Um Threat Feed pode monitorizar ou bloquear, consoante a versão SFOS e a configuração. Para segurança produtiva, bloquear é muitas vezes o objetivo, mas nem todos os feeds devem entrar cegamente em modo de bloqueio.
- Monitor: tornar hits visíveis sem bloquear diretamente o tráfego. Verificar volume de logs, sources/destinations afetados e hits inesperados.
- Block: parar ativamente indicadores maliciosos conhecidos. Preparar processo de false positives, alerting e exceções.
- Review: verificar eficácia e efeitos secundários. Avaliar qualidade do feed, hits antigos, casos de suporte e risco de negócio.
Em serviços muito expostos, um feed IPv4 bem curado pode reduzir diretamente muito ruído. Em feeds de domínio ou URL é melhor ser mais prudente, porque serviços legítimos podem correr com mais frequência sobre infraestrutura partilhada, CDNs ou redirecionamentos.
Ordem e posição dos feeds
Ao adicionar um Third-Party Feed, é possível definir a feed position. Parece banal, mas ajuda em operação: feeds críticos e bem curados devem ter nomes claros e estar ordenados. Test feeds, feeds temporários ou fontes com maior risco de false positives não devem ficar escondidos entre feeds produtivos.
Convenção prática de nomes:
- Feed IPv4 produtivo em block:
cybora-premium-ipv4-block - Domain feed em modo Monitor:
cybora-standard-domain-monitor - Feed temporário de incidente:
incident-2026-06-c2-ipv4
Um bom nome mostra fornecedor, plano ou objetivo, indicator type e ação. Isto poupa tempo no Log Viewer e em reviews posteriores.
Synchronisation e Storage Quota
Em Third-Party Threat Feeds, a Sophos Firewall mostra active feeds, número total de Threat Indicators, Storage Quota e estado de sincronização. Estes valores não devem ser ignorados após a configuração.
Controlos importantes:
- Sync status:
Success,FetchingouDisabledsão rápidos de classificar. ComAuthentication error,Connection error,Storage full,SSL/TLS errorouFailed, verificar especificamente a causa e o feed. - Last updated: o timestamp corresponde ao polling interval esperado.
- Storage quota: a firewall ainda tem espaço suficiente para os IoCs carregados.
- Threat indicators: o número corresponde aproximadamente ao esperado pelo fornecedor.
- Synchronize now: a sincronização manual funciona quando uma alteração não deve esperar pelo próximo polling interval.
Se a Storage Quota estiver cheia, a culpa não é automaticamente do fornecedor do feed. Appliances pequenas têm menos margem do que modelos maiores. A firewall continua a obter IoCs no intervalo configurado e atualiza a lista assim que houver espaço disponível. Ainda assim, deve verificar-se o âmbito dos feeds, indicator types e prioridade, em vez de integrar cada vez mais listas.
Em modelos XGS mais pequenos, o polling interval também pode estar limitado. Segundo a Sophos, XGS 87/87w, 88/88w e 107/107w suportam para Third-Party Threat Feeds apenas 24h, 7d e 30d como opções de Polling interval. Se um feed contratado for atualizado com maior frequência, esta diferença de plataforma deve ser considerada nas expectativas de atualidade e efeito de bloqueio.
Do Free ao Ultimate Threat Feed - by Cybora
Informações de ameaças fiáveis e atuais são decisivas. Por isso, a Avanet aposta em planos Threat Feed curados da Cybora, especialmente adequados para utilização em Sophos Firewalls.
Os feeds são compostos a partir de várias fontes para criar deteção de ameaças tão ampla e fiável quanto possível. Incluem dados de comunidades e OSINT, informações adquiridas comercialmente, resultados de honeypots e logs anonimizados de ataques, erros e anomalias de ambientes Sophos Firewall reais em operação.
Free (Basic) é adequado para Home User, PoC e testes de compatibilidade. Standard acrescenta ao feed IPv4 domínios importantes de malware e phishing. Premium alarga a cobertura a domínios e URLs com atualizações horárias. Ultimate destina-se a infraestrutura crítica e perímetros de alto risco com atualizações de 15 minutos.
Com Sophos Firewall Threat Feeds, infraestrutura maliciosa conhecida pode ser filtrada mais cedo. Consoante o ambiente, o plano Basic gratuito basta para testes, enquanto Standard, Premium e Ultimate se destinam a requisitos produtivos com cobertura e atualidade crescentes.
Cybora é especialmente adequado quando é necessário um feed concreto e comprável para Sophos Firewall, sem recolher, formatar, verificar e operar várias listas OSINT internamente. O valor prático está menos na maior lista e mais em indicadores curados, planos de feed claros e um percurso operacional compatível com a função Third-Party Threat Feed da Sophos Firewall.
Comparar Threat Feeds
Free / Basic
Free (Basic)
$0/por ano
- Intervalo de atualização: a cada 24 h
- IPv4: 20,000 IPv4
- Suporte: Sem suporte
Proteção básica
Standard
$179/por ano
- Intervalo de atualização: a cada 6 h
- IPv4: 85,000 IPv4
- Domínios: Top 5,000 domínios
- Suporte: Standard
Proteção avançada
Premium
$349/por ano
- Intervalo de atualização: a cada 1 h
- IPv4: 220,000 IPv4
- Domínios: 45,000 Domínios
- URLs: 25,000 URLs
- Suporte: Prioridade
Proteção crítica
Ultimate
$1,999/por ano
- Intervalo de atualização: a cada 15 min
- IPv4: 300,000+ IPv4
- Domínios: 100,000+ Domínios
- URLs: 100,000 URLs
- Suporte: Muito alto
Na comparação não se deve olhar apenas para o número de entradas. Uma lista enorme não é automaticamente melhor se produzir muitos false positives ou se for mal mantida. O decisivo é que o feed esteja atual, seja curado e seja bem utilizável na firewall.
Critérios importantes:
- Atualidade dos dados
- Indicator types suportados
- Qualidade e curadoria das fontes
- Intervalo de atualização
- Risco de false positives
- Rastreabilidade no Log Viewer
- Processo de exceção sensato
Avanet Firewall Network
Parte do Premium Feed são dados de uma rede distribuída de firewalls. Esta perspetiva é especialmente interessante em padrões de ataque que quase não se destacam numa única firewall.

Muitas ferramentas reconhecem sem problemas ataques brute-force de endereços IP individuais, mas falham perante ataques distribuídos por botnets. Nestes casos, cada host controlado pelo atacante faz apenas algumas tentativas de login falhadas, em baixa frequência, escapando assim à deteção e ao bloqueio.
Algumas botnets incluem centenas de milhares de hosts infetados, permitindo que cibercriminosos executem ataques brute-force massivos sem serem bloqueados.
Desses padrões nasce um Threat Intelligence Feed constantemente atualizado com IPs que se tornaram suspeitos em vários sistemas. Através da agregação e alimentação contínua destes dados no Threat Intelligence Feed, são identificados e automaticamente bloqueados endereços IP que atacam infraestrutura de forma direcionada.
O que Threat Feeds não substituem
Threat Feeds são fortes, mas não substituem fundamentos limpos de firewall.
Não substituem:
- regras de firewall restritivas
- MFA para VPN, portais e acessos administrativos
- Device Access e Local Service ACL, conforme descrito em proteger o acesso à Sophos Firewall
- IPS, WAF, Web Protection e TLS Inspection
- Patch management e Hotfixes
- Logging, Reporting e controlo regular
Por exemplo, se um servidor web for publicado por DNAT, a regra de firewall deve continuar a ter sources tão restritas quanto possível, serviços concretos e logging ativado. Um Threat Feed bloqueia fontes maliciosas conhecidas, mas atacantes desconhecidos ou novos podem continuar a chegar.
Configurar Sophos Firewall Threat Feed
A integração dos Cybora Threat Feeds é simples e fica concluída em poucos minutos. Todos os feeds são totalmente compatíveis com a função Third-Party Threat Feed da Sophos Firewall e podem ser adicionados pela interface web da firewall da seguinte forma:
- Abrir menu:
Protect > Active threat response > Third-party threat feeds > Add - Introduzir dados base
- Name:
cybora-premium-ipv4 - Description:
Cybora Feed - Premium
- Name:
- Definir Indicator type
- Indicator type:
IPv4 address,DomainouURL - Criar um feed separado por indicator type se a mesma fonte oferecer IPs, domínios e URLs.
- Indicator type:
- Selecionar ação
- Para bloqueio produtivo:
Block. - Para um início prudente: escolher
Monitorou uma ação de observação, se disponível e útil.
- Para bloqueio produtivo:
- Guardar Feed URL
- No campo External URL, inserir o endereço adequado da lista de feeds Avanet.
- O URL deve devolver um ficheiro de texto com um indicador por linha.
- Definir polling interval
- Polling interval: escolher de acordo com o feed contratado.
- Um tempo mais curto não ajuda se o próprio feed só for atualizado num intervalo mais longo.
- Configurar autenticação (se necessário)
- Consoante o feed, sem autenticação, com API key ou Basic Authentication.
- Não expor credenciais nem feed keys em tickets, screenshots ou documentação pública.
- Testar ligação e guardar
- Executar Test connection.
- Depois guardar com Save.

Depois de guardar, não se deve avançar imediatamente para o tema seguinte. Primeiro verificar se o feed sincroniza, se o número esperado de IoCs é visível e se o Log Viewer mostra hits com nome do feed, ação, source e destination de forma rastreável.
Controlo em operação
Após a configuração, não se deve simplesmente assumir que tudo está correto. É importante que hits sejam visíveis e explicáveis.
- Verificar
System services > Log settingse ativar Active-Threat-Response-Logging. - No
Log viewer, filtrar porActive threat response. - Verificar que feed gerou o hit.
- Controlar source, destination, service e regra de firewall afetada.
- Em false positives, não criar uma exceção ampla; verificar e documentar o indicador concreto.
Especialmente em DNAT, WAF e VPN portals, após a ativação vê-se muitas vezes rapidamente quanto tráfego indesejado vem de fontes maliciosas conhecidas. Por isso, Threat Feeds são particularmente adequados como bloco adicional de proteção para serviços expostos.
Se um feed não mostrar hits
A ausência de hits não significa automaticamente que o feed seja fraco. Outro componente Active Threat Response pode detetar o mesmo IoC mais cedo, o tráfego relevante pode não passar pela regra de firewall correta ou a firewall pode não ver contexto suficiente para domínios e URLs.
Verificações úteis:
- Abrir Threat indicators e procurar um indicador de teste conhecido.
- Verificar se o feed está ativo e se o Sync status mostra
Success. - Com
Authentication error, verificar credenciais ou API key. - Com
Connection error, verificar DNS, acesso à internet, estado HTTP e servidor do feed. - Com
SSL/TLS error, verificar o certificado CA e a cadeia de certificados do servidor do feed. - Com
Failed, verificar formato do feed, abertura do ficheiro no browser e indicadores inválidos. - Verificar a regra de firewall e o Log Viewer para o tráfego esperado.
- Em feeds de domínio, verificar Application Classification ou IPS policy.
- Em URL feeds, verificar Web Proxy, DPI e regra SSL/TLS inspection.
- Controlar Threat Exclusions, Web Exclusions e SSL/TLS Exclusion Lists.
- Se após uma fase de observação não surgirem hits relevantes, reavaliar âmbito ou posição do feed.
Tratar false positives
False positives são possíveis em qualquer block list dinâmica. O decisivo é a forma limpa como são tratados.
Fluxo prático:
- Abrir o log entry afetado no Log Viewer.
- Anotar feed name, indicator type, action, Source, Destination e Service.
- Verificar se o tráfego é esperado e legítimo do ponto de vista técnico.
- Verificar ou reportar o indicador junto do fornecedor do feed.
- Definir a exceção o mais estrita possível.
- Documentar ticket, motivo e data de review.
Uma exceção ampla para redes inteiras não é uma boa solução só porque um utilizador “não consegue abrir uma página”. Em hits de URL ou domínio, deve verificar-se adicionalmente se TLS Inspection, Web Policy, DNS Protection ou outra função de segurança está envolvida.
Checkliste operacional
- Feed name, fornecedor, plano e owner documentados.
- Indicator type definido claramente por feed.
- Ação
MonitorouBlockescolhida conscientemente. - Polling interval definido de acordo com o feed.
- Verificação de certificado e autenticação testadas.
- Synchronization status e Storage Quota verificados.
- Logs Active Threat Response visíveis.
- Processo de false positives com data de review definido.
- Cenários DNAT, WAF e VPN avaliados consoante a versão SFOS.
- Alerts ou reports para hits recorrentes planeados.