Saltar para o conteudo
Avanet

Configurar e operar Sophos Firewall Threat Feeds

Os Sophos Firewall Threat Feeds da Cybora fornecem Threat Intelligence Feeds contínuos que importam automaticamente Indicators of Compromise (IoCs) para a Sophos Firewall. Estes IoCs são, por exemplo, endereços IP maliciosos, domínios de malware, URLs de phishing ou servidores botnet C&C conhecidos.

Para o contexto geral de hardening, consultar o hub Sophos Firewall Hardening: melhores práticas para uma configuração segura.

Isto elimina grande parte do esforço manual de manutenção. Em vez de manter manualmente endereços IP ou domínios de atacantes em host objects, regras de firewall ou block lists, a firewall obtém os dados automaticamente a partir de um feed curado e pode bloquear o tráfego correspondente.

Isto é particularmente valioso assim que uma firewall fica visível a partir do exterior. IPs públicos, regras DNAT, publicações WAF, VPN portals ou acessos WebAdmin são muitas vezes encontrados rapidamente por bots, scanners e frameworks de exploração automatizadas. Um bom Threat Feed reduz esse tráfego indesejado antes de ele entrar mais fundo no ambiente.

Em resumo: Threat Feeds são fortes quando são entendidos como processo operacional. Selecionar feed, definir corretamente Indicator type, testar primeiro com visibilidade, depois bloquear, verificar hits regularmente e tratar false positives de forma limpa. Integrar simplesmente uma lista grande não é uma boa estratégia de segurança.

Enquadramento

O que são Threat Feeds

Threat Feeds ou feeds de ameaças são listas de indicadores de comprometimento. Na prática, são indícios de infraestrutura maliciosa conhecida:

  • IP addresses: scanners, botnets, sistemas comprometidos ou Command-and-Control servers.
  • Domains: domínios de malware, phishing ou C2.
  • URLs: caminhos maliciosos concretos ou links de download.

Consoante o fornecedor, estes feeds vêm de organizações de segurança, consórcios de setor, comunidades open source, threat intelligence comercial, honeypots ou sensores próprios. No Sophos Firewall v21, a função foi alargada com feeds de terceiros integrados através do Active Threat Response Framework.

As vantagens são claras:

  • Proteção proativa: bloquear ameaças antes de causarem danos.
  • Flexibilidade: usar feeds de diferentes fornecedores, ajustados a requisitos individuais.
  • Automatização: a firewall bloqueia automaticamente; deixa de ser necessária intervenção manual.
  • Alívio: tráfego indesejado é descartado mais cedo e nem chega aos serviços internos.

Não misturar módulos de Threat Feed

Em Active threat response existem várias funções lado a lado. Os nomes soam parecidos, mas resolvem tarefas diferentes.

  • Sophos X-Ops Threat Feeds: indicadores Sophos para ameaças conhecidas. Em operação, ativar a função Network Protection e verificar logs.
  • MDR Threat Feeds: informação de ameaças a partir do contexto Sophos MDR/XDR. Em operação, ligar o processo MDR/Central ao logging da firewall.
  • Third-Party Threat Feeds: listas IoC externas, como Cybora, como feed de IP, domínio ou URL. Em operação, assumir responsabilidade por qualidade do feed, ação, sincronização e exceções.
  • NDR Essentials / NDR Active Threat Intelligence: deteção de padrões de tráfego suspeitos em vez de uma lista IoC pura. Em operação, avaliar sinais de deteção e não confundir com uma block list.

Este artigo trata sobretudo de Third-Party Threat Feeds. Para NDR e Active Threat Intelligence é adequado Operar Sophos Firewall NDR e Active Threat Response.

Áreas típicas de utilização

Threat Feeds não são interessantes apenas para tráfego de saída de clientes. Na prática, serviços publicamente acessíveis mostram acessos automatizados muito depressa.

  • DNAT para servidores internos: port forwards são rapidamente analisados por scanners. Um feed IPv4 pode bloquear fontes maliciosas conhecidas antes de chegarem ao servidor interno.
  • Publicações WAF: servidores web veem frequentemente tráfego de bots, scans de CVE, probes de CMS e credential stuffing. Threat Feeds acrescentam reputação às regras WAF.
  • VPN Portal, User Portal e WebAdmin: portais devem ser protegidos primeiro através de Device Access, MFA e redes de origem. Threat Feeds reduzem adicionalmente fontes de ataque conhecidas.
  • Tráfego de saída de clientes: feeds de domínios e URLs podem bloquear destinos conhecidos de malware, phishing ou C2.
  • Endereços WAN muito analisados: se um IP público vê continuamente tráfego de bots, um bom feed IPv4 pode aliviar de forma sensível a firewall e os logs.

Desde SFOS 22, Threat Feeds são especialmente interessantes para tráfego de entrada encaminhado, como DNAT e WAF. A firewall consegue assim reconhecer fontes maliciosas conhecidas também antes de serviços publicados. Em instalações mais antigas ou versões mistas, este ponto deve ser verificado conscientemente antes de assumir o mesmo grau de proteção.

Threat Feeds não substituem uma publicação limpa. Se um serviço estiver acessível por DNAT ou WAF, devem continuar a ser abertos apenas os ports necessários, restringidas redes ou países de origem, ativadas regras IPS/WAF e verificados logs. Threat Feeds são um bloco adicional de proteção, não uma autorização para regras Any amplas.

Requisitos e licença

Para usar Third-Party Threat Feeds na Sophos Firewall é necessário o Xstream Protection Bundle. Para este módulo não são necessárias licenças Sophos Central adicionais. Outros módulos Threat Feed têm requisitos próprios: Sophos X-Ops Threat Feeds requer Network Protection, MDR Threat Feeds requer também Sophos MDR Essentials ou MDR Complete no Sophos Central e NDR Essentials requer Xstream Appliance Bundle.

Adicionalmente, antes do rollout deve verificar-se:

  • A firewall está numa versão SFOS com suporte para Third-Party Threat Feed.
  • A firewall consegue chegar à feed URL por DNS e HTTPS.
  • Por feed é usado um Indicator type claro, por exemplo IPv4 address, Domain ou URL.
  • O feed é um ficheiro de texto simples com um indicador por linha.
  • Intervalos IP, endereços IPv6, endereços de rede, domínios wildcard e expressões regulares não são o formato adequado para Third-Party Threat Feeds.
  • O logging de Active Threat Response está ativado.
  • Está claro se o feed será primeiro apenas observado ou se vai bloquear diretamente.

Recomendação prática: introduzir novos feeds primeiro de forma controlada. Se a firewall o permitir, começar com uma fase de observação, verificar hits no Log Viewer e só depois mudar para bloqueio. Assim se percebe cedo se sistemas legítimos seriam afetados.

URL-Feeds e TLS Inspection

Feeds de IP e domínio são normalmente fáceis de compreender. URL-Feeds são um pouco mais exigentes, porque a firewall tem de ver o caminho de URL relevante. Em tráfego HTTPS, isto nem sempre é possível sem desencriptação adequada.

Se URL-Feeds forem usados em produção, deve verificar-se se Web Proxy, DPI Engine e TLS Inspection se ajustam ao ambiente. Sem visibilidade limpa sobre o tráfego HTTPS, um URL-Feed pode ser menos eficaz do que esperado.

Planeamento antes do rollout

Monitor ou Block?

Um Threat Feed pode monitorizar ou bloquear, consoante a versão SFOS e a configuração. Para segurança produtiva, bloquear é muitas vezes o objetivo, mas nem todos os feeds devem entrar cegamente em modo de bloqueio.

  • Monitor: tornar hits visíveis sem bloquear diretamente o tráfego. Verificar volume de logs, sources/destinations afetados e hits inesperados.
  • Block: parar ativamente indicadores maliciosos conhecidos. Preparar processo de false positives, alerting e exceções.
  • Review: verificar eficácia e efeitos secundários. Avaliar qualidade do feed, hits antigos, casos de suporte e risco de negócio.

Em serviços muito expostos, um feed IPv4 bem curado pode reduzir diretamente muito ruído. Em feeds de domínio ou URL é melhor ser mais prudente, porque serviços legítimos podem correr com mais frequência sobre infraestrutura partilhada, CDNs ou redirecionamentos.

Ordem e posição dos feeds

Ao adicionar um Third-Party Feed, é possível definir a feed position. Parece banal, mas ajuda em operação: feeds críticos e bem curados devem ter nomes claros e estar ordenados. Test feeds, feeds temporários ou fontes com maior risco de false positives não devem ficar escondidos entre feeds produtivos.

Convenção prática de nomes:

  • Feed IPv4 produtivo em block: cybora-premium-ipv4-block
  • Domain feed em modo Monitor: cybora-standard-domain-monitor
  • Feed temporário de incidente: incident-2026-06-c2-ipv4

Um bom nome mostra fornecedor, plano ou objetivo, indicator type e ação. Isto poupa tempo no Log Viewer e em reviews posteriores.

Synchronisation e Storage Quota

Em Third-Party Threat Feeds, a Sophos Firewall mostra active feeds, número total de Threat Indicators, Storage Quota e estado de sincronização. Estes valores não devem ser ignorados após a configuração.

Controlos importantes:

  • Sync status: Success, Fetching ou Disabled são rápidos de classificar. Com Authentication error, Connection error, Storage full, SSL/TLS error ou Failed, verificar especificamente a causa e o feed.
  • Last updated: o timestamp corresponde ao polling interval esperado.
  • Storage quota: a firewall ainda tem espaço suficiente para os IoCs carregados.
  • Threat indicators: o número corresponde aproximadamente ao esperado pelo fornecedor.
  • Synchronize now: a sincronização manual funciona quando uma alteração não deve esperar pelo próximo polling interval.

Se a Storage Quota estiver cheia, a culpa não é automaticamente do fornecedor do feed. Appliances pequenas têm menos margem do que modelos maiores. A firewall continua a obter IoCs no intervalo configurado e atualiza a lista assim que houver espaço disponível. Ainda assim, deve verificar-se o âmbito dos feeds, indicator types e prioridade, em vez de integrar cada vez mais listas.

Em modelos XGS mais pequenos, o polling interval também pode estar limitado. Segundo a Sophos, XGS 87/87w, 88/88w e 107/107w suportam para Third-Party Threat Feeds apenas 24h, 7d e 30d como opções de Polling interval. Se um feed contratado for atualizado com maior frequência, esta diferença de plataforma deve ser considerada nas expectativas de atualidade e efeito de bloqueio.

Do Free ao Ultimate Threat Feed - by Cybora

Informações de ameaças fiáveis e atuais são decisivas. Por isso, a Avanet aposta em planos Threat Feed curados da Cybora, especialmente adequados para utilização em Sophos Firewalls.

Os feeds são compostos a partir de várias fontes para criar deteção de ameaças tão ampla e fiável quanto possível. Incluem dados de comunidades e OSINT, informações adquiridas comercialmente, resultados de honeypots e logs anonimizados de ataques, erros e anomalias de ambientes Sophos Firewall reais em operação.

Free (Basic) é adequado para Home User, PoC e testes de compatibilidade. Standard acrescenta ao feed IPv4 domínios importantes de malware e phishing. Premium alarga a cobertura a domínios e URLs com atualizações horárias. Ultimate destina-se a infraestrutura crítica e perímetros de alto risco com atualizações de 15 minutos.

Com Sophos Firewall Threat Feeds, infraestrutura maliciosa conhecida pode ser filtrada mais cedo. Consoante o ambiente, o plano Basic gratuito basta para testes, enquanto Standard, Premium e Ultimate se destinam a requisitos produtivos com cobertura e atualidade crescentes.

Cybora é especialmente adequado quando é necessário um feed concreto e comprável para Sophos Firewall, sem recolher, formatar, verificar e operar várias listas OSINT internamente. O valor prático está menos na maior lista e mais em indicadores curados, planos de feed claros e um percurso operacional compatível com a função Third-Party Threat Feed da Sophos Firewall.

Comparar Threat Feeds

Free / Basic

Free (Basic)

$0/por ano

  • Intervalo de atualização: a cada 24 h
  • IPv4: 20,000 IPv4
  • Suporte: Sem suporte
Escolher

Proteção básica

Standard

$179/por ano

  • Intervalo de atualização: a cada 6 h
  • IPv4: 85,000 IPv4
  • Domínios: Top 5,000 domínios
  • Suporte: Standard
Escolher

Proteção avançada

Premium

$349/por ano

  • Intervalo de atualização: a cada 1 h
  • IPv4: 220,000 IPv4
  • Domínios: 45,000 Domínios
  • URLs: 25,000 URLs
  • Suporte: Prioridade
Escolher

Proteção crítica

Ultimate

$1,999/por ano

  • Intervalo de atualização: a cada 15 min
  • IPv4: 300,000+ IPv4
  • Domínios: 100,000+ Domínios
  • URLs: 100,000 URLs
  • Suporte: Muito alto
Escolher

Na comparação não se deve olhar apenas para o número de entradas. Uma lista enorme não é automaticamente melhor se produzir muitos false positives ou se for mal mantida. O decisivo é que o feed esteja atual, seja curado e seja bem utilizável na firewall.

Critérios importantes:

  • Atualidade dos dados
  • Indicator types suportados
  • Qualidade e curadoria das fontes
  • Intervalo de atualização
  • Risco de false positives
  • Rastreabilidade no Log Viewer
  • Processo de exceção sensato

Avanet Firewall Network

Parte do Premium Feed são dados de uma rede distribuída de firewalls. Esta perspetiva é especialmente interessante em padrões de ataque que quase não se destacam numa única firewall.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Muitas ferramentas reconhecem sem problemas ataques brute-force de endereços IP individuais, mas falham perante ataques distribuídos por botnets. Nestes casos, cada host controlado pelo atacante faz apenas algumas tentativas de login falhadas, em baixa frequência, escapando assim à deteção e ao bloqueio.

Algumas botnets incluem centenas de milhares de hosts infetados, permitindo que cibercriminosos executem ataques brute-force massivos sem serem bloqueados.

Desses padrões nasce um Threat Intelligence Feed constantemente atualizado com IPs que se tornaram suspeitos em vários sistemas. Através da agregação e alimentação contínua destes dados no Threat Intelligence Feed, são identificados e automaticamente bloqueados endereços IP que atacam infraestrutura de forma direcionada.

O que Threat Feeds não substituem

Threat Feeds são fortes, mas não substituem fundamentos limpos de firewall.

Não substituem:

  • regras de firewall restritivas
  • MFA para VPN, portais e acessos administrativos
  • Device Access e Local Service ACL, conforme descrito em proteger o acesso à Sophos Firewall
  • IPS, WAF, Web Protection e TLS Inspection
  • Patch management e Hotfixes
  • Logging, Reporting e controlo regular

Por exemplo, se um servidor web for publicado por DNAT, a regra de firewall deve continuar a ter sources tão restritas quanto possível, serviços concretos e logging ativado. Um Threat Feed bloqueia fontes maliciosas conhecidas, mas atacantes desconhecidos ou novos podem continuar a chegar.

Configurar Sophos Firewall Threat Feed

A integração dos Cybora Threat Feeds é simples e fica concluída em poucos minutos. Todos os feeds são totalmente compatíveis com a função Third-Party Threat Feed da Sophos Firewall e podem ser adicionados pela interface web da firewall da seguinte forma:

  1. Abrir menu: Protect > Active threat response > Third-party threat feeds > Add
  2. Introduzir dados base
    • Name: cybora-premium-ipv4
    • Description: Cybora Feed - Premium
  3. Definir Indicator type
    • Indicator type: IPv4 address, Domain ou URL
    • Criar um feed separado por indicator type se a mesma fonte oferecer IPs, domínios e URLs.
  4. Selecionar ação
    • Para bloqueio produtivo: Block.
    • Para um início prudente: escolher Monitor ou uma ação de observação, se disponível e útil.
  5. Guardar Feed URL
    • No campo External URL, inserir o endereço adequado da lista de feeds Avanet.
    • O URL deve devolver um ficheiro de texto com um indicador por linha.
  6. Definir polling interval
    • Polling interval: escolher de acordo com o feed contratado.
    • Um tempo mais curto não ajuda se o próprio feed só for atualizado num intervalo mais longo.
  7. Configurar autenticação (se necessário)
    • Consoante o feed, sem autenticação, com API key ou Basic Authentication.
    • Não expor credenciais nem feed keys em tickets, screenshots ou documentação pública.
  8. Testar ligação e guardar
    • Executar Test connection.
    • Depois guardar com Save.
Adicionar Sophos Firewall Threat Feeds
Adicionar Sophos Firewall Threat Feeds

Depois de guardar, não se deve avançar imediatamente para o tema seguinte. Primeiro verificar se o feed sincroniza, se o número esperado de IoCs é visível e se o Log Viewer mostra hits com nome do feed, ação, source e destination de forma rastreável.

Controlo em operação

Após a configuração, não se deve simplesmente assumir que tudo está correto. É importante que hits sejam visíveis e explicáveis.

  1. Verificar System services > Log settings e ativar Active-Threat-Response-Logging.
  2. No Log viewer, filtrar por Active threat response.
  3. Verificar que feed gerou o hit.
  4. Controlar source, destination, service e regra de firewall afetada.
  5. Em false positives, não criar uma exceção ampla; verificar e documentar o indicador concreto.

Especialmente em DNAT, WAF e VPN portals, após a ativação vê-se muitas vezes rapidamente quanto tráfego indesejado vem de fontes maliciosas conhecidas. Por isso, Threat Feeds são particularmente adequados como bloco adicional de proteção para serviços expostos.

Se um feed não mostrar hits

A ausência de hits não significa automaticamente que o feed seja fraco. Outro componente Active Threat Response pode detetar o mesmo IoC mais cedo, o tráfego relevante pode não passar pela regra de firewall correta ou a firewall pode não ver contexto suficiente para domínios e URLs.

Verificações úteis:

  1. Abrir Threat indicators e procurar um indicador de teste conhecido.
  2. Verificar se o feed está ativo e se o Sync status mostra Success.
  3. Com Authentication error, verificar credenciais ou API key.
  4. Com Connection error, verificar DNS, acesso à internet, estado HTTP e servidor do feed.
  5. Com SSL/TLS error, verificar o certificado CA e a cadeia de certificados do servidor do feed.
  6. Com Failed, verificar formato do feed, abertura do ficheiro no browser e indicadores inválidos.
  7. Verificar a regra de firewall e o Log Viewer para o tráfego esperado.
  8. Em feeds de domínio, verificar Application Classification ou IPS policy.
  9. Em URL feeds, verificar Web Proxy, DPI e regra SSL/TLS inspection.
  10. Controlar Threat Exclusions, Web Exclusions e SSL/TLS Exclusion Lists.
  11. Se após uma fase de observação não surgirem hits relevantes, reavaliar âmbito ou posição do feed.

Tratar false positives

False positives são possíveis em qualquer block list dinâmica. O decisivo é a forma limpa como são tratados.

Fluxo prático:

  1. Abrir o log entry afetado no Log Viewer.
  2. Anotar feed name, indicator type, action, Source, Destination e Service.
  3. Verificar se o tráfego é esperado e legítimo do ponto de vista técnico.
  4. Verificar ou reportar o indicador junto do fornecedor do feed.
  5. Definir a exceção o mais estrita possível.
  6. Documentar ticket, motivo e data de review.

Uma exceção ampla para redes inteiras não é uma boa solução só porque um utilizador “não consegue abrir uma página”. Em hits de URL ou domínio, deve verificar-se adicionalmente se TLS Inspection, Web Policy, DNS Protection ou outra função de segurança está envolvida.

Checkliste operacional

  • Feed name, fornecedor, plano e owner documentados.
  • Indicator type definido claramente por feed.
  • Ação Monitor ou Block escolhida conscientemente.
  • Polling interval definido de acordo com o feed.
  • Verificação de certificado e autenticação testadas.
  • Synchronization status e Storage Quota verificados.
  • Logs Active Threat Response visíveis.
  • Processo de false positives com data de review definido.
  • Cenários DNAT, WAF e VPN avaliados consoante a versão SFOS.
  • Alerts ou reports para hits recorrentes planeados.

FAQ

Que licença é necessária para Third-Party Threat Feeds?

Na prática, é necessário o Xstream Protection Bundle para Third-Party Threat Feeds na Sophos Firewall. Para este módulo específico não é necessária qualquer licença Sophos Central adicional.

Deve-se deixar Threat Feeds bloquear diretamente?

Em feeds conhecidos e curados, bloquear é o objetivo. Em ambientes sensíveis, ainda assim pode fazer sentido observar primeiro os hits e excluir false positives.

Threat Feeds também ajudam com DNAT ou WAF?

Sim, especialmente a partir de SFOS 22 este é um caso de utilização importante. Serviços publicados são rapidamente encontrados por bots e scanners. Um feed IPv4 pode bloquear fontes maliciosas conhecidas antes de chegarem ao serviço publicado ou à aplicação WAF.

Porque são necessários feeds separados para IPs, domínios e URLs?

A Sophos Firewall processa um feed com base no Indicator type selecionado. Se uma fonte fornecer vários tipos, estes devem ser criados separadamente como feed IPv4, Domain ou URL.

Um Threat Feed substitui IPS ou WAF?

Não. Threat Feeds bloqueiam indicadores maliciosos conhecidos. IPS, WAF, Web Protection, TLS Inspection, MFA, patch management e regras de firewall limpas continuam a ser necessários.

O que fazer se um Threat Feed bloquear tráfego legítimo?

Primeiro verificar o log entry: feed name, indicator type, source, destination, service e action. Depois avaliar tecnicamente o indicador, reportá-lo ao fornecedor e criar apenas uma exceção estreita com motivo e data de review.