Saltar para o conteudo
Avanet

Utilizar categorias da web e alertas instantâneos no Sophos Firewall

Sophos Firewall

As categorias da web no Sophos Firewall são mais do que um simples filtro para sites indesejados. Quando usadas corretamente, ajudam a limitar comportamentos de navegação arriscados, registrar categorias de forma precisa e reagir mais rapidamente a acessos críticos.

Com alertas instantâneos, o firewall pode enviar notificações por e-mail para categorias da web selecionadas. Isso é especialmente útil em escolas, áreas sensíveis de empresas ou ambientes onde certos acessos à web não devem ser notados apenas no relatório mensal.

É importante ter expectativas claras: categorias da web, grupos de URLs, políticas da web, inspeção TLS, manuseio de QUIC, registros e relatórios devem estar alinhados. Se apenas uma categoria for ativada, mas a política da web não for usada em uma regra de firewall, nada acontecerá no tráfego produtivo.

Para o planejamento geral de políticas da web, comece com Configurar proteção da web no Sophos Firewall com políticas da web. Para a base de regras, consulte Compreender e configurar corretamente regras do Sophos Firewall. Este artigo foca na parte operacional da web: categorias, grupos de URLs, alertas instantâneos, avaliação e reação.

Separar termos claramente

A Sophos utiliza vários objetos da web que podem ser facilmente confundidos no dia a dia.

TermoFunçãoUso típico
Categoria da webCategoria para domínios, URLs ou palavras-chave. Muitas categorias vêm da Sophos, mas categorias personalizadas são possíveis.Permitir, bloquear, limitar ou relatar acessos à web com base em risco ou conteúdo.
Grupo de URLsLista de domínios que pode ser usada em políticas da web ou exceções TLS.Listas de permissão ou bloqueio explícitas, quando domínios específicos são mais importantes que categorias.
Política da webConjunto de regras para usuários, grupos, categorias, grupos de URLs, tipos de arquivos, filtros de conteúdo e ações.Controlar acessos à web e conectar com uma regra de firewall.
Alertas instantâneosNotificação por e-mail para acessos a categorias monitoradas.Notificação rápida para categorias particularmente sensíveis ou de alto risco.
Visualizador de logs e relatóriosAvaliação da decisão real.Verificar se a categoria, política, usuário e regra de firewall estão funcionando conforme esperado.

Uma política da web só tem efeito quando é selecionada em uma regra de firewall apropriada sob Security features > Web filtering. A política da web por si só não é uma regra produtiva.

Quando as categorias da web são úteis

As categorias da web são especialmente úteis quando os acessos à web não devem ser apenas permitidos ou bloqueados de forma geral. Cenários típicos:

  • Bloquear categorias de malware, phishing e fraude.
  • Restringir anonimato, proxies e serviços de evasão.
  • Monitorar especialmente categorias de comando e controle ou spyware.
  • Bloquear categorias como conteúdo adulto, jogos de azar ou substâncias controladas, dependendo do ambiente.
  • Permitir aplicações críticas de nuvem empresarial, mas restringir serviços de nuvem privada ou compartilhamento de arquivos.
  • Em escolas ou ambientes supervisionados, monitorar categorias particularmente sensíveis com alertas instantâneos.
  • Limitar a largura de banda para certas categorias da web através de modelagem de tráfego.

As categorias não devem ser configuradas aleatoriamente para bloqueio ou alerta. Isso geraria muitos acertos que ninguém poderia revisar de forma eficaz. É melhor ter um conjunto pequeno e claro com responsável, caminho de reação e revisão.

Pré-requisitos

Antes da configuração, os seguintes pontos devem ser esclarecidos:

  • A proteção da web ou um pacote Sophos Firewall apropriado está licenciado.
  • Existe uma regra de cliente ou usuário que deve usar o filtro da web.
  • O emparelhamento de usuários ou grupos está planejado, caso as políticas devam ser aplicadas com base no usuário.
  • Log firewall traffic está ativo na regra de firewall relevante.
  • Os tipos de log apropriados estão ativados em System services > Log settings.
  • As notificações por e-mail funcionam, se os alertas instantâneos forem usados.
  • Para avaliação a longo prazo, o Sophos Central Firewall Reporting ou Syslog está planejado.
  • QUIC e inspeção TLS foram decididos conscientemente.

Para avaliação central, consulte Ativar Central Firewall Reporting. Se os logs forem enviados para um SIEM próprio, o artigo Enviar Syslog do Sophos Firewall para SIEM é mais adequado.

Planejar categorias e grupos de URLs

Para os administradores, é importante saber quando uma categoria da web personalizada ou um grupo de URLs é mais adequado.

Uma categoria da web personalizada é útil quando:

  • Domínios ou palavras-chave devem ser usados como categoria em várias políticas da web.
  • A categoria deve ser visível em relatórios e logs.
  • Um conceito de modelagem de tráfego por categoria está planejado.
  • Uma categoria monitorada para alertas instantâneos deve ser criada.

Um grupo de URLs é geralmente melhor quando:

  • Apenas domínios específicos são coletados.
  • É necessária uma pequena lista de permissão ou bloqueio.
  • A lista também deve ser usada para exceções TLS.
  • O emparelhamento de palavras-chave deve ser evitado.

Grupos de URLs são frequentemente mais eficientes e menos propensos a falsos positivos do que categorias com palavras-chave. Categorias de palavras-chave devem ser usadas com moderação, especialmente para regras de permissão.

Bloquear, alertar ou apenas relatar?

Nem toda categoria precisa do mesmo tratamento. Um bom design de proteção da web separa decisões de segurança rigorosas de avisos e avaliação pura.

TratamentoAdequado paraRisco operacional
BloquearMalware, phishing, serviços de evasão conhecidos, categorias claramente proibidasum site legítimo pode ser bloqueado se a categoria estiver errada
AvisarÁreas cinzentas, ambientes de treinamento, categorias conscientemente permitidasusuários se acostumam com avisos e clicam automaticamente para continuar
Alerta instantâneopoucas categorias com obrigação de reação realmuitos alertas levam à fadiga de alerta
Apenas relatórioAnálise de tendências, relatórios de uso, sinais fracosacertos só são visíveis mais tarde

Para ambientes produtivos, muitas vezes uma seleção pequena e clara é melhor do que um catálogo máximo. Se ninguém avaliar um alerta, a categoria não deve ser configurada como alerta instantâneo. Se uma categoria deve ser sempre bloqueada, um alerta adicional só é útil se resultar em um acompanhamento concreto.

Criar ou ajustar uma categoria da web

O caminho do menu é:

Web > Categories

Procedimento básico:

  1. Editar uma categoria existente ou escolher Add.
  2. Atribuir um nome.
  3. Selecionar a classificação.
  4. Opcionalmente, selecionar uma política de modelagem de tráfego.
  5. Escolher o tipo de configuração.
  6. Adicionar domínios ou palavras-chave.
  7. Opcionalmente, ativar Instant alerts.
  8. Salvar.

Para categorias personalizadas, o nome deve descrever claramente o propósito. Nomes como Custom1 ou Blocklist não ajudam muito mais tarde. Nomes como Alert_Self_Harm, Block_Proxy_Anonymizer ou Allow_Business_Cloud_Exceptions são melhores.

Os domínios são verificados em relação ao nome de domínio na URL e incluem automaticamente subdomínios. As palavras-chave, por outro lado, são verificadas em relação à URL completa, incluindo caminho e consulta. Isso pode ser útil, mas gera mais facilmente falsos positivos.

Se um banco de dados de URLs externo for usado, o firewall verifica essa lista a cada 48 horas para atualizações. Este intervalo não pode ser alterado. Para listas de bloqueio públicas, ainda deve-se verificar se Configurar e operar com segurança Sophos Firewall Threat Feeds é mais adequado tecnicamente.

Configurar política da web

O caminho do menu é:

Web > Policies

Uma política da web contém regras para usuários, grupos, atividades, categorias, grupos de URLs, tipos de arquivos, filtros de conteúdo, ações e cronogramas.

Procedimento básico:

  1. Criar uma nova política da web ou editar uma política existente.
  2. Adicionar uma regra.
  3. Selecionar usuários ou grupos, se a política for baseada em usuários.
  4. Selecionar categorias ou grupos de URLs.
  5. Definir a ação para HTTP.
  6. Verificar ação separada para HTTPS.
  7. Definir cronograma, se necessário.
  8. Ativar o status da regra.
  9. Verificar a posição da regra.
  10. Salvar.

A ordem dentro da política da web é crucial. As regras são avaliadas de cima para baixo. Uma regra de permissão ampla acima de uma regra de bloqueio específica pode fazer com que a regra de bloqueio nunca seja aplicada.

Se os usuários estiverem configurados na regra de firewall e na política da web, é necessário testar conscientemente o efeito. Usuários em regras de firewall podem ter prioridade sobre usuários em políticas da web. Em caso de acertos incertos, deve-se verificar não apenas a política da web, mas também a regra de firewall.

Ativar política da web na regra de firewall

O caminho do menu é:

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Procedimento básico:

  1. Abrir a regra de cliente ou servidor relevante.
  2. Verificar zona de origem, rede de origem, zona de destino e serviços.
  3. Ativar Log firewall traffic.
  4. Em Web filtering, selecionar a política da web desejada.
  5. Ativar ou desativar conscientemente Block QUIC protocol.
  6. Verificar configurações de varredura de malware e varredura HTTPS.
  7. Salvar.
  8. Testar com o Policy tester, Log Viewer e tráfego real de clientes.

QUIC é um fator de interferência comum para filtragem da web. Quando navegadores se comunicam via UDP 443, a lógica e a visibilidade nem sempre correspondem à expectativa de HTTPS clássico via TCP. Para detalhes, consulte Bloquear corretamente QUIC e HTTP/3 no Sophos Firewall.

Se conteúdos HTTPS ou caminhos completos de URL forem relevantes, a categorização da web por si só pode não ser suficiente. Nesse caso, a inspeção TLS deve ser planejada. Isso não deve ser feito de forma casual, pois envolve certificados, exceções, privacidade, desempenho e processos de suporte. A implementação está descrita em Introduzir corretamente a inspeção TLS no Sophos Firewall.

Ativar alertas instantâneos

Os alertas instantâneos são ativados no nível da categoria.

O caminho do menu é:

Web > Categories

Procedimento básico:

  1. Editar a categoria.
  2. Selecionar conscientemente a categoria para monitoramento.
  3. Ativar Instant alerts.
  4. Salvar.
  5. Abrir System services > Notifications list.
  6. Procurar Web - Instant alerts.
  7. Ativar a caixa de seleção em Email.
  8. Verificar envio de e-mail e destinatários.
  9. Gerar acesso de teste e verificar notificação.

O firewall envia notificações por e-mail para categorias monitoradas em lotes a cada cinco minutos. Este intervalo não pode ser alterado. Um alerta, portanto, não é um alarme em tempo real preciso ao segundo, mas uma notificação por e-mail rápida em comparação com relatórios puramente posteriores.

Os alertas instantâneos devem ser ativados apenas para categorias em que um destinatário definido possa realmente reagir. Uma grande lista de alertas sem responsabilidade geralmente leva à fadiga de alerta.

Privacidade e responsabilidade interna

Alertas de categorias da web podem conter informações sobre usuários, IP de origem, horário, categoria e, dependendo da visibilidade, também informações de destino. Isso é útil para segurança e operação, mas pode levantar questões trabalhistas ou de privacidade, dependendo da organização.

Antes do uso produtivo, deve-se esclarecer:

  • Quem pode ver os alertas da web?
  • Quais acertos são apenas verificados tecnicamente e quais são tratados como casos de segurança?
  • Por quanto tempo os e-mails de alerta, relatórios ou eventos SIEM são mantidos?
  • A avaliação é coordenada com RH, privacidade ou políticas internas?
  • Como evitar que acertos inofensivos sejam superinterpretados?

Tecnicamente, a configuração é ativada rapidamente. Operacionalmente, deve ser tratada como um pequeno processo de monitoramento: destinatário, propósito, caminho de reação e retenção devem estar alinhados.

Definir triagem de alertas

Os alertas instantâneos não devem ser tratados todos da mesma forma. Um único acerto de categoria pode ser um clique acidental, um serviço mal classificado, um problema de política ou um verdadeiro caso de segurança. Portanto, deve-se definir antecipadamente quais acertos devem ser verificados imediatamente e quais devem ser revisados normalmente.

Uma triagem simples ajuda:

PrioridadeCategoria ou situação típicaReação
AltaMalware, phishing, comando e controle, categorias de exploração ou spywareverificar rapidamente o Log Viewer, usuário, status do endpoint e outros logs de segurança
MédiaAnonimizadores, proxy, compartilhamento de arquivos, armazenamento em nuvem privado ou evasão repetida de políticasverificar padrões, esclarecer contexto do usuário e ajustar política
Baixaáreas cinzentas isoladas sem repetiçãoincluir em relatórios ou revisão semanal, não escalar imediatamente
Falso alarmesite necessário para negócios mal classificadoverificar grupo de URLs ou ajuste de categoria, não definir regra de permissão ampla

Esta classificação não deve existir apenas na cabeça de um administrador. É sensato ter uma breve nota operacional: categorias monitoradas, destinatários, tempo de reação, caminho de escalonamento, exceções permitidas e data de revisão. Isso mantém claro se um alerta deve ser apenas documentado, corrigido tecnicamente ou tratado como incidente.

Testar e avaliar

Após cada alteração, não basta apenas salvar, mas verificar o efeito.

Passos de verificação úteis:

  1. Abrir Web > Policies > Policy tester.
  2. Testar usuário, URL e política.
  3. Em um cliente de teste, acessar um site apropriado.
  4. Abrir Log viewer.
  5. Verificar logs de filtro da web, firewall, inspeção SSL/TLS e controle de aplicativos.
  6. Na regra de firewall, verificar se o acerto está na regra esperada.
  7. Para alertas instantâneos, verificar a caixa de entrada de e-mail.
  8. No Sophos Central ou SIEM, verificar se os eventos estão chegando lá.

O Policy tester é útil, mas não substitui um fluxo de pacotes real. Se uma regra não corresponder, uma rota SD-WAN decidir de outra forma ou TLS/QUIC alterar o caminho, isso geralmente só é visto no Log Viewer ou Packet Capture. Para esses casos, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Para a atribuição dos arquivos de log, consulte Solução de problemas do Sophos Firewall: Serviços e Logs. Lá estão incluídos awarrenhttp.log, webproxy.log e nSXLd.log para questões de web e categorização.

Erros comuns

SintomaCausa comumVerificação
Política da web não é aplicadaPolítica não está selecionada na regra de firewallVerificar regra de firewall em Web filtering
Categoria é permitida, embora devesse ser bloqueadaRegra de permissão ampla está acima da regra de bloqueioVerificar ordem em política da web e regras de firewall
Nenhum alerta instantâneoCategoria não monitorada ou notificação não ativada por e-mailVerificar Web > Categories e System services > Notifications list
Nenhuma informação de usuário no logUsuário não é reconhecido ou regra não corresponde baseada em usuárioVerificar autenticação, STAS, Portal Cativo ou Usuário sem Cliente
HTTPS é permitido inesperadamenteNenhuma inspeção TLS apropriada ou ação HTTPSVerificar política da web, regras de inspeção SSL/TLS e descriptografia
Filtro da web parece incompletoQUIC ou caminho de tráfego incorretoVerificar Block QUIC protocol, serviços e Log Viewer
Muitos alertasCategorias escolhidas de forma muito amplaReduzir lista de alertas e definir responsável
Domínio ausente em log/relatórioCategoria particularmente crítica é anonimizadaVerificar categoria e comportamento da Sophos

A Sophos bloqueia sites da categoria atividade criminosa altamente censurável por padrão e oculta o nome do domínio em logs e relatórios. Se uma entrada nesta área aparecer anonimamente, isso pode ser intencional.

Definir reação a alertas instantâneos

Um alerta instantâneo só é útil se houver clareza sobre o que deve acontecer a seguir. Caso contrário, gera-se tráfego de e-mail adicional, mas não uma segurança melhor. Antes da ativação, deve-se definir um fluxo de reação simples.

Para cada tipo de categoria monitorada, deve-se pelo menos estabelecer:

PerguntaPor que é importante?
Quem recebe o alerta?Evita distribuição sem responsabilidade.
Com que rapidez deve-se reagir?Separa acertos críticos de mera revisão posterior.
Quais logs serão verificados?Log Viewer, Central Reporting, Syslog ou logs de serviço fornecem profundidades diferentes.
Quando um acerto é um incidente?Nem todo acerto de categoria é automaticamente um incidente de segurança.
Quem pode liberar uma exceção?Evita regras de permissão amplas e rápidas sem avaliação de risco.
Quando a seleção de categorias será revisada?Reduz fadiga de alerta devido a conjuntos de alertas muito amplos.

Um fluxo pragmático é assim:

  1. Registrar alerta com usuário, IP de origem, categoria, URL ou domínio e horário.
  2. No Log Viewer, verificar quais regras de firewall e política da web foram aplicadas.
  3. Se disponível, usar Central Reporting ou SIEM para contextualização temporal.
  4. Determinar se é um caso isolado, padrão repetido ou falso alarme.
  5. Em caso de classificação incorreta, trabalhar apenas com grupo de URLs ou ajuste de categoria.
  6. Em caso de padrão suspeito, avaliar contexto do usuário, status do endpoint e outros logs de segurança.
  7. Documentar decisão: ignorar, observar, bloquear, exceção, incidente.

Para análise técnica detalhada, consulte Solução de problemas do Sophos Firewall: Serviços e Logs, Ativar Central Firewall Reporting e Enviar Syslog do Sophos Firewall para SIEM. Se não estiver claro se a regra de firewall correta foi atingida, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Recomendação operacional

Para ambientes produtivos, um modelo de três etapas é sensato:

  1. Bloquear: Bloquear malware, phishing, fraude, comando e controle, anonimato e outras categorias claramente arriscadas.
  2. Monitorar: Aplicar alertas instantâneos a poucas categorias sensíveis.
  3. Avaliar: Revisar regularmente relatórios da web, Central Reporting ou SIEM.

A fronteira mais importante é organizacional: um alerta precisa de um destinatário, um tempo de reação e uma decisão sobre o que fazer com os acertos. Caso contrário, os alertas instantâneos se tornam apenas ruído adicional de e-mail.

Lista de verificação

  • Licença de proteção da web verificada.
  • Regra de firewall relevante identificada.
  • Política da web criada ou ajustada.
  • Política da web selecionada na regra de firewall.
  • Log firewall traffic ativado na regra.
  • Block QUIC protocol decidido conscientemente.
  • Inspeção TLS planejada conscientemente ou não utilizada conscientemente.
  • Categorias críticas definidas.
  • Alertas instantâneos ativados apenas para poucas categorias claras.
  • System services > Notifications list > Web - Instant alerts ativado por e-mail.
  • Teste realizado com Policy tester.
  • Teste realizado com tráfego real de clientes.
  • Log Viewer verificado.
  • Central Reporting ou Syslog verificado, se avaliação central for esperada.
  • Proprietário e caminho de reação para alertas documentados.

Perguntas frequentes

Qual é a diferença entre categoria da web e grupo de URLs?

Uma categoria da web atribui domínios, URLs ou palavras-chave a uma categoria e pode ser usada em políticas da web, relatórios e alertas instantâneos. Um grupo de URLs é uma lista de domínios explícita, especialmente adequada para listas de permissão ou bloqueio específicas.

Por que uma política da web não é aplicada?

Frequentemente, a política da web não está selecionada na regra de firewall apropriada, a regra não corresponde ou uma regra mais geral está acima. Além disso, a atribuição de usuários, serviços, QUIC ou inspeção TLS podem alterar o efeito esperado.

Os alertas instantâneos são alarmes em tempo real?

Não são precisos ao segundo. As notificações por e-mail para categorias monitoradas são enviadas em lotes a cada cinco minutos. Para muitos casos operacionais, isso é rápido o suficiente, mas não substitui um SIEM ou monitoramento SOC.

Deve-se aplicar alertas instantâneos a todas as categorias de risco?

Não. Muitos alertas geram ruído. É melhor ter uma pequena seleção com responsabilidade clara, por exemplo, categorias particularmente sensíveis ou com alto valor de investigação.

É necessário inspeção TLS para categorias da web?

Nem sempre. Muitas categorias funcionam através de avaliação de URL ou domínio. Para caminhos completos de URL, conteúdos, downloads e certas funções de proteção, a inspeção TLS pode ser decisiva. O uso deve ser planejado e testado.