Hoppa till innehållet
Avanet
Sophos Firewall NDR Active Threat Intelligence

Sophos Firewall: NDR Active Threat Intelligence

Med SFOS 22.0 MR1 har Sophos lagt till en ny detekteringsfunktion i Sophos Firewall: NDR Active Threat Intelligence. Namnet låter som ännu en stor säkerhetskomponent, men tekniskt bör den beskrivas mer precist. Brandväggen använder detekteringsmönster från Taegis NDR. I Sophos Community nämns iSensor som IPS-motor från Secureworks- respektive Taegis-världen, vars mönster nu landar i SFOS. Målet är inte främst att omedelbart blockera varje träff hårt, utan att synliggöra misstänkt aktivitet i nätverket och göra den användbar för XDR, MDR eller SOC-analyser.

Det är en viktig skillnad. Många administratörer tänker först på blockering när de tänker på brandväggssäkerhet: IPS blockerar, Web Protection blockerar, DNS Protection blockerar, Threat Feeds blockerar. NDR Active Threat Intelligence fungerar annorlunda. Funktionen identifierar potentiellt skadlig eller misstänkt trafik, skriver events till loggarna och skickar data vidare till Sophos Data Lake. Där kan den undersökas vidare i Sophos Central, i Threat Analysis Center, för Sophos XDR, Sophos MDR eller av ett SOC.

Enligt min bedömning är det ett meningsfullt tillägg, men ingen magisk ersättning för ett riktigt Detection and Response-koncept. Den som bara aktiverar funktionen och sedan aldrig tittar i loggar, detections eller cases vinner inte mycket. Den som däremot medvetet kopplar in den i brandväggsregler, TLS Inspection, rapportering och incidentprocesser får ytterligare signaler precis där många angrepp blir synliga: i nätverkstrafiken.

Vad NDR Active Threat Intelligence gör

NDR Active Threat Intelligence använder högsignaliga detekteringsmönster från Taegis NDR. Sophos Firewall kontrollerar relevant trafik mot dessa mönster, skapar Detection-events och skickar dem vidare till Data Lake. Sophos beskriver funktionen som detektering av potentiellt skadlig trafik och aktiva angripare inne i nätverket.

I praktiken handlar det om situationer som inte alltid är tillräckligt entydiga för klassisk prevention, men som blir viktiga i en undersökning:

  • ett betrott Windows-verktyg som certutil, som missbrukas för misstänkta nedladdningar,
  • ett komprometterat system som skannar SSH-kompatibla hosts, exempelvis i samband med NoaBot,
  • ovanlig HTTP-trafik över en port där man egentligen förväntar sig DNS,
  • utgående trafik som ser ut som dataexfiltrering eller dold kommunikation, till exempel via det gamla finger-verktyget.

Sådana signaler är inte alltid automatiskt ett bekräftat angrepp. Just därför är åtgärden i konfigurationen utformad som Log threats. Brandväggen samlar indikationer, gör dem synliga och tillhandahåller dem för korrelation. När andra signaler tillkommer, exempelvis Endpoint-events, identitetsindikationer eller fler brandväggsloggar, kan en robust detection eller ett case uppstå.

Varför det inte är samma sak som ATP eller klassiska Threat Feeds

En naturlig fråga är: Är detta bara Advanced Threat Protection med nytt namn? Snarare inte. I Sophos Community beskrevs den nya brandväggsregeloptionen träffande som nya respektive förbättrade IPS-mönster, inte som klassisk ATP. Skillnaden är viktig, eftersom den också gör förväntningarna på funktionen tydligare.

Advanced Threat Protection och Sophos X-Ops Threat Feeds arbetar mer reputations- och indikatorbaserat. Det handlar om kända skadliga IP-adresser, domäner, URL:er eller Command-and-Control-indikatorer. Sådana feeds är mycket värdefulla när ett mål eller en avsändare redan är känd som skadlig. Det passar också ihop med det äldre inlägget om Threat Intelligence Feeds för brandväggen.

NDR Active Threat Intelligence tittar mer på misstänkta trafikmönster. Trafiken i sig ger indikationer: ovanlig protokollanvändning, misstänkta nedladdningar, Lateral Movement-beteende eller kommunikation som inte passar den förväntade användningen. Det ligger närmare Network Detection and Response än en ren blockeringslista.

Ytterligare en skillnad är viktig: ATP är tänkt systemövergripande, medan NDR Active Threat Intelligence dessutom aktiveras i de relevanta brandväggsreglerna. Man avgör alltså per regel respektive per trafikväg vilken trafik som ska analyseras med dessa mönster.

Krav och plattformar som stöds

NDR Active Threat Intelligence är en funktion för Sophos Firewall 22.0 MR1. I release notes anges den för version 22.0 MR1 Build 490, som publicerades den 20 april 2026.

För drift är framför allt dessa punkter relevanta:

  • Det krävs en Sophos Firewall med Xstream Protection Bundle.
  • XGS Series Firewalls stöds, inklusive Gen.1 och Gen.2, samt virtuella, software- och cloud-deployments.
  • Bland annat VMware, KVM, Hyper-V, Azure, AWS, XEN och Software Appliances stöds.
  • XGS 88, XGS 88w, XGS 87 och XGS 87w stöds inte.
  • För XDR-analyser krävs en Sophos XDR-licens.
  • För MDR-analyser krävs MDR Essentials eller MDR Complete.
  • För Sophos Central Reporting måste reports och logs skickas till Sophos Central.
  • Brandväggen måste vara registrerad i Sophos Central om man vill använda Central-vyerna.
  • Enligt Techvids-anvisningen stöds Sophos Firewall Home Edition för närvarande inte.

Punkten med XGS 87 och XGS 88 är viktig, men den är inte den enda driftkontrollen. De minsta desktop-modellerna stöds inte för den här funktionen, även om de annars kan köra aktuella SFOS-versioner. Den som arbetar med XGS 87, XGS 87w, XGS 88 eller XGS 88w i små filialer eller externa kontor bör därför inte planera in NDR Active Threat Intelligence som en tillgänglig skyddskomponent. Samtidigt räcker inte licensen ensam: Central Reporting, Data Lake-anslutning och IPS-logging måste vara korrekt aktiverade, annars förblir den operativa nyttan liten.

NDR Active Threat Intelligence, NDR Essentials eller Sophos Central NDR?

Namnen liknar varandra, men betyder inte samma sak. NDR Essentials är flow-funktionen nära brandväggen: Sophos Firewall samlar in nätverksflows, analysen sker i Sophos-molnet och ingen separat sensor-VM krävs. Det är praktiskt i miljöer där brandväggen ser de relevanta dataflödena och man vill komma igång utan en extra appliance.

NDR Active Threat Intelligence är den nya delen på brandväggssidan. Den använder kurerade Taegis/iSensor-mönster och aktiveras dessutom i de relevanta brandväggsreglerna. Det handlar inte om en separat NDR-appliance, utan om detekterings- och logging-signaler för trafik som brandväggen faktiskt behandlar.

Sophos Central NDR är däremot den fristående NDR-produkten med en dedikerad virtuell sensor-VM. Den sensorn ansluts normalt passivt via SPAN-, mirror- eller TAP-port och kan därför även se intern öst-väst-trafik, unmanaged enheter, IoT/OT-system eller obehöriga assets som, beroende på arkitekturen, aldrig passerar brandväggen. Kort sagt: NDR Essentials och NDR Active Threat Intelligence utökar brandväggens vy. Sophos Central NDR ger den bredare nätverksvyn via en egen sensor-VM.

Var funktionen aktiveras

Grundkonfigurationen görs på Sophos Firewall under:

Active Threat Response > NDR Essentials and Active Threat Intelligence

Menypunkten hette tidigare bara NDR Essentials. Med SFOS 22.0 MR1 utökades den och döptes om till NDR Essentials and Active Threat Intelligence, eftersom båda områdena nu samlas där.

Aktivera Sophos Firewall NDR Essentials and Active Threat Intelligence
NDR Essentials och NDR Active Threat Intelligence konfigureras under Active Threat Response.

Där aktiveras NDR Active Threat Intelligence och en minsta allvarlighetsgrad väljs. Sophos anger fem severity-nivåer:

  • Critical (1)
  • Major (2)
  • Moderate (3)
  • Minor (4)
  • Warning (5)

Valet avgör vilka mönster som beaktas. Om man väljer Warning tas alla mönster från Critical till Warning med. Om man väljer Critical utvärderas bara kritiska mönster. Det låter banalt, men är viktigt i drift. Ett för högt tröskelvärde kan dölja intressanta tidiga indikatorer. Ett för lågt tröskelvärde kan leda till betydligt fler events i större nät.

Min rekommendation: Börja inte blint med den känsligaste inställningen. Bättre är en definierad pilot med några få relevanta regler, ren logging och efterföljande utvärdering. Därefter kan man avgöra om severity-nivån passar eller om man stegvis ska rulla ut bredare.

Följande Sophos-demo visar kompakt aktiveringen och testflödet i brandväggens GUI:

Brandväggsreglerna är avgörande

Efter aktiveringen påminner brandväggen om att NDR Active Threat Intelligence också måste aktiveras i de passande brandväggsreglerna. Det är en av de viktigaste punkterna, eftersom funktionen annars inte tillämpas på den önskade trafiken.

I reglerna hittar man inställningen under Rules and policies > Firewall rules. Inom respektive regel skrollar man till avsnittet Other security features.

Där måste Scan with NDR Active Threat Intelligence aktiveras. Detta steg måste göras för varje regel vars trafik ska analyseras. Det gäller typiskt regler för användares internettrafik, servertrafik, DMZ-trafik eller vissa interna kommunikationsvägar.

Sophos Firewall-regel med Scan with NDR Active Threat Intelligence
I brandväggsreglerna måste Scan with NDR Active Threat Intelligence aktiveras separat.

I Techvids-guiden påpekas dessutom att Scan HTTP and decrypted HTTPS bör vara aktiverat och att SSL/TLS Inspection Rules måste stå på Decrypt om dekrypterad HTTPS-trafik ska kontrolleras. Det är logiskt: ju mindre brandväggen ser av trafiken, desto mindre kan den identifiera på ett meningsfullt sätt. Samtidigt är TLS Inspection alltid ett driftprojekt och inget snabbt sidoklick.

Kort sagt: den globala NDR Active Threat Intelligence-funktionen räcker inte ensam. Regelalternativet, HTTPS Scanning och SSL/TLS Inspection måste passa ihop, annars förblir synligheten begränsad.

Aktivera inte allt på en gång

Jag skulle inte omedelbart lägga NDR Active Threat Intelligence på varje regel och varje zon. Tekniskt kan det fungera i många miljöer, men operativt är det sällan den bästa starten. Ett etappvis rollout är klokare:

  1. Kontrollera regler för användare till internet.
  2. Kontrollera regler för servrar till internet.
  3. Kontrollera DMZ och publicerade tjänster.
  4. Kontrollera interna segmenteringsregler med hög risk.
  5. Utvärdera loggar och detections efter några dagar.

På så sätt ser man tidigt om vissa applikationer skapar avvikande mönster, om TLS Inspection fungerar rent och om eventvolymen förblir operativt hanterbar.

Var man ser detections

På själva brandväggen finns flera sätt att titta på detections. Direkt i området NDR Active Threat Intelligence visar en summary-widget det totala antalet detekteringar under de senaste sju dagarna och en uppdelning efter severity.

För detaljer kan man öppna NDR Active Threat Intelligence Logs. Sophos hänvisar här till loggtypen IPS. Alternativt kan man filtrera i Log Viewer efter kategori:

  • Field: Category
  • Condition: is
  • Value: NDR Active threat intelligence

Dessutom syns utvärderingar under Reports > Network & Threat respektive vid intrusion-angrepp.

I Sophos Central finns två viktiga perspektiv:

  • Firewall Management > Report Generator, där med Report Template IPS
  • beroende på XDR- eller MDR-användning Threat Analysis Center > Detections och vid behov Cases

Den första vägen beskrivs i Sophos-dokumentationen. Den andra vägen kommer framför allt från Techvids-demon och är intressant för XDR- och MDR-miljöer. Där ser man rådata som Device Serial ID, Source IP och Destination IP och kan korrelera brandväggsdetekteringen med andra signaler.

Vad som bör hända vid en träff

En NDR Active Threat Intelligence-träff är en undersökningssignal. Den bör inte automatiskt betraktas som klar bara för att det finns en loggpost någonstans. I en bra driftmodell är åtminstone dessa frågor klargjorda:

  • Vem tittar regelbundet på dessa detections?
  • Från vilken severity skapas ett ticket eller case?
  • Vilka loggar kontrolleras dessutom?
  • Finns det ett runbook-steg för Source IP, Destination IP och berörda användare?
  • Kontrolleras om samma host visar avvikelser även i Endpoint, DNS, Web eller Identity?
  • Finns det ett beslut om när en enhet isoleras eller en brandväggsregel justeras?

Särskilt viktigt: Om Sophos MDR används bör det vara tydligt vilken roll MDR-analytikerna tar och vilka åtgärder som måste beslutas internt. Om Sophos XDR körs utan MDR behövs någon internt som faktiskt läser och bedömer dessa detections.

Exempel från praktiken

De mest intressanta exemplen är inte de högljudda angreppen som varje IPS ändå upptäcker. Intressanta är de lågmälda signalerna:

Living-off-the-Land

När ett legitimt verktyg som certutil används för en misstänkt nedladdning ser det vid första anblicken inte nödvändigtvis ut som malware. Just sådana Living-off-the-Land-tekniker är populära i verkliga angrepp, eftersom de missbrukar befintliga operativsystemsverktyg och därför märks mindre.

NDR Active Threat Intelligence kan göra sådana mönster synliga. Det betyder inte automatiskt att varje träff tyder på en kompromettering. Men det betyder: Den här hosten förtjänar uppmärksamhet.

Lateral Movement

När ett infekterat system börjar skanna SSH-hosts kan det vara en indikation på lateral rörelse. Sophos nämner bland annat NoaBot i dokumentationen som exempel på detta mönster. I segmenterade miljöer bör en klient ändå inte fritt kunna nå alla servrar eller managementsystem. När sådana försök blir synliga är det inte bara en detection-fråga, utan också en indikation på segmentering.

Här passar kopplingen till inlägget Sophos NDR - eliminera blinda fläckar i nätverket: Nätverkstrafik förblir en plats där angripare lämnar spår, även när Endpoint-signaler är ofullständiga.

Ovanlig protokollanvändning

HTTP över en DNS-port eller utgående anslutningar som ska dölja dataexfiltrering är typiska exempel på “det här är tekniskt möjligt, men operativt fel”. Sophos nämner bland annat trafik över finger som exempel vid dataexfiltrering. Sådana mönster är sällan enkla att bedöma rent med en enskild allow-/deny-regel. Som detection-signal är de däremot värdefulla.

Vad funktionen inte ersätter

NDR Active Threat Intelligence är en bra extra sensor, men ingen ersättning för grundläggande säkerhetsarbete.

Funktionen ersätter inte:

  • rena brandväggsregler,
  • segmentering mot Lateral Movement,
  • planering av TLS Inspection,
  • IPS, Web och DNS Protection,
  • Endpoint Detection and Response,
  • Sophos MDR eller ett eget SOC,
  • ett SIEM med tydliga use cases,
  • patch- och hotfix-processer,
  • regelbundna granskningar av brandväggskonfigurationen.

Funktionen ersätter inte heller automatiskt Sophos Central NDR med en dedikerad sensor-VM. Den avgränsningen beskrivs ovan och bör granskas medvetet före ett arkitekturbeslut.

Min bedömning

Jag tycker att funktionen är intressant eftersom den minskar glappet mellan klassiskt brandväggsskydd och Security Operations. Brandväggen står redan på en stark position i nätverket. Om ytterligare NDR-detekteringsmönster körs där och data blir synliga i Central, XDR eller MDR skapas verkligt mervärde.

Men värdet uppstår inte bara genom att aktivera funktionen. Det uppstår genom tre saker:

  • passande brandväggsregler,
  • tillräcklig synlighet i HTTP och dekrypterad HTTPS,
  • en process som utvärderar detections.

Den som redan använder Sophos Central, Sophos XDR eller Sophos MDR bör testa NDR Active Threat Intelligence och aktivera funktionen i en kontrollerad pilot. Den som kör brandväggen isolerat och inte använder Central-reports eller Security Operations-processer bör först bygga grunderna. Annars producerar funktionen i bästa fall intressanta loggar som ingen tittar på.

Min rekommendation är därför pragmatisk: Börja med några få relevanta regler, kontrollera IPS-logging, testa Central-anslutningen och avgör därefter hur brett funktionen ska rullas ut. För kontrollerade testevents skulle jag orientera mig efter Techvids-demon. I Sophos Community nämndes att dedikerade NDR Active Threat Intelligence-tester för sophostest.com fortfarande ska läggas till.

Checklista för administratörer

Kontrollera direkt

  • Kör brandväggen SFOS 22.0 MR1 eller nyare?
  • Är Xstream Protection Bundle aktivt?
  • Är brandväggen registrerad i Sophos Central?
  • Skickas reports och logs till Sophos Central?
  • Är IPS-logging aktiverad?
  • Finns det relevanta brandväggsregler där funktionen kan testas?

Att tänka på vid rollout

  • Aktivera NDR Active Threat Intelligence under Active Threat Response.
  • Välj severity-nivå medvetet.
  • Aktivera Scan with NDR Active Threat Intelligence per relevant brandväggsregel.
  • Aktivera HTTP-scanning och dekrypterad HTTPS endast där det är operativt korrekt planerat.
  • Kontrollera SSL/TLS Inspection Rules och dokumentera undantag.
  • Kontrollera detections på brandväggen och i Sophos Central.
  • Utlös och dokumentera testevents kontrollerat.

Klargör i drift

  • Vem tittar på detections och cases?
  • Vilken severity skapar ett ticket?
  • Vilka hosts prioriteras för undersökning vid träffar?
  • Vilka loggar korreleras?
  • När isoleras en enhet?
  • Hur dokumenteras False Positives?
  • Hur ofta granskas regler, severity och eventvolym?

Slutsats

Sophos Firewall NDR Active Threat Intelligence är inte ännu en marknadsföringsetikett för en befintlig blockeringslista. Funktionen tar Taegis NDR-detekteringsmönster direkt till Sophos Firewall och gör misstänkta nätverksaktiviteter mer synliga. Det är särskilt intressant för XDR-, MDR- och SOC-miljöer, eftersom brandväggssignaler därmed kan ingå starkare i undersökningar.

Den viktigaste begränsningen kvarstår dock: Det handlar främst om detection och logging. Den som förväntar sig omedelbar blockering måste placera funktionen rätt. Den som tar Security Operations på allvar får däremot en extra signal som kan vara särskilt hjälpsam vid Living-off-the-Land, Lateral Movement och ovanlig protokollanvändning.

För produktiva miljöer skulle jag därför börja med en kort pilot, en tydlig logging- och case-process och därefter en planerad rollout till de regler som verkligen är relevanta. Då kan NDR Active Threat Intelligence leverera precis det moderna brandväggar behöver leverera i dag: inte bara tillåta eller blockera trafik, utan göra angrepp synliga tidigare.

FAQ

Vad är Sophos Firewall NDR Active Threat Intelligence?

NDR Active Threat Intelligence är en detekteringsfunktion i Sophos Firewall 22.0 MR1. Brandväggen använder Taegis NDR-detekteringsmönster, identifierar misstänkt trafik, skriver events till loggarna och skickar dem vidare till Sophos Data Lake.

Blockerar NDR Active Threat Intelligence angrepp automatiskt?

Funktionen är främst utformad för logging och detection. Åtgärden står på Log threats. Träffar fungerar som undersökningssignal för brandväggsloggar, Sophos Central, XDR, MDR eller SOC-analyser.

Vilken licens krävs?

För NDR Active Threat Intelligence krävs ett Xstream Protection Bundle. För vidare analyser i Sophos XDR eller Sophos MDR krävs dessutom motsvarande XDR- eller MDR-licenser.

Vilka brandväggar stöds?

XGS Series Firewalls stöds, inklusive Gen.1 och Gen.2, samt virtuella, software- och cloud-deployments. XGS 88, XGS 88w, XGS 87 och XGS 87w stöds inte.

Var aktiverar man funktionen?

Grundfunktionen aktiveras under Active Threat Response > NDR Essentials and Active Threat Intelligence. Dessutom måste Scan with NDR Active Threat Intelligence aktiveras i de relevanta brandväggsreglerna.

Är NDR Active Threat Intelligence samma sak som Sophos NDR?

Nej. NDR Active Threat Intelligence tar NDR-detekteringsmönster till Sophos Firewall. En dedikerad Sophos NDR-sensor är en separat arkitektur för bredare nätverkssynlighet, typiskt via SPAN/TAP och Sophos Central.

Behöver man fortfarande Third-Party Threat Feeds med NDR Active Threat Intelligence?

Ja, i många miljöer fortfarande. NDR Active Threat Intelligence identifierar misstänkta trafikmönster och levererar detection-signaler. Third-Party Threat Feeds som Cybora levererar däremot konkreta indikatorer som skadliga IP-adresser, domäner eller URL:er, som brandväggen kan blockera aktivt. Båda kompletterar varandra: NDR hjälper till att upptäcka misstänkta mönster, medan Threat Feeds minskar känd skadlig trafik redan vid nätverksgränsen.

Var ser man detections?

Detections syns på brandväggen i NDR Active Threat Intelligence-området, i Log Viewer, i Reports > Network & Threat och i Sophos Central Firewall Reporting. I XDR- eller MDR-miljöer kan de dessutom visas i Threat Analysis Center under Detections eller Cases.

Källor

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.