Hoppa till innehållet
Avanet

Driva Sophos Firewall NDR och Active Threat Response

Sophos Firewall

Sophos Firewall kan med NDR Essentials och NDR Active Threat Intelligence ge ytterligare indikationer på misstänkt nätverkstrafik. Detta är användbart när man inte bara vill blockera attacker, utan också upptäcka, undersöka och vidarebearbeta dem i Sophos Central, XDR, MDR eller ett SIEM.

Det är viktigt att ha rätt förväntningar: NDR på brandväggen är ingen magisk knapp som automatiskt löser alla problem. Funktionen kräver lämpliga licenser, synlig trafik, aktiverade loggtyper, medvetet valda brandväggsregler och en process för att utvärdera träffar. Utan denna driftsdel skapas bara ytterligare loggar.

För klassiska Indicators of Compromise som skadliga IP-adresser, domäner eller URL:er passar först Ställa in och säkert driva Sophos Firewall Threat Feeds. Denna artikel fokuserar på NDR Essentials, NDR Active Threat Intelligence och den operativa utvärderingen.

Skilja begreppen tydligt

Sophos använder flera liknande namn. För administratörer är det viktigt att skilja dem åt eftersom varje funktion fungerar olika.

FunktionVad händerTypisk nytta
NDR EssentialsBrandväggen analyserar utvalda flödesdata och upptäcker IoCs som IP-adresser eller domäner.Nätverksbaserade indikationer utan separat sensor-VM.
NDR Active Threat IntelligenceBrandväggen använder kuraterade Taegis-NDR-mönster, upptäcker misstänkt trafik, loggar händelser och skickar dem till Sophos Data Lake.Högsignaldetektering för XDR, MDR eller säkerhetsoperationer.
Sophos Central NDRSeparat NDR-produkt med egen sensor-VM, vanligtvis via SPAN, Mirror eller TAP.Bredare syn på öst-väst-trafik, oövervakade enheter och interna nätverksrörelser.
Threat FeedsIoC-listor som IP:er, domäner eller URL:er kontrolleras mot trafiken.Blockera eller övervaka kända skadliga mål eller källor.

NDR Essentials och NDR Active Threat Intelligence utökar alltså brandväggens syn. Sophos Central NDR är en egen arkitektur med separat sensor. Tredjeparts Threat Feeds är en annan komponent: Dessa arbetar indikatorbaserat och kan beroende på åtgärd blockera direkt.

När användningen är meningsfull

NDR och Active Threat Response är särskilt användbara när en brandvägg inte bara används som paketfilter, utan är en del av en detekterings- och responsprocess.

Typiska scenarier:

  • Internettrafik från klienter ska kontrolleras mot misstänkta mål eller mönster.
  • Servrar eller DMZ-system ska ge ytterligare detektionssignaler.
  • XDR, MDR eller SOC ska inkludera brandväggshändelser i undersökningar.
  • Flera brandväggar ska centralt utvärderas i Sophos Central eller ett SIEM.
  • Det finns redan en process för larm, ärenden, falska positiva och eskalering.

Mindre meningsfullt är användningen om ingen granskar händelserna, inga loggar vidarebefordras eller de relevanta brandväggsreglerna inte anpassas. Då är först Central Firewall Reporting eller Skicka Sophos Firewall Syslog till SIEM viktigare.

Förutsättningar

Innan aktivering bör dessa punkter kontrolleras:

  • Brandväggen körs på en stödd SFOS-version.
  • Xstream Protection Bundle är aktiv.
  • Brandväggen är registrerad i Sophos Central om Central Reporting, XDR eller MDR ska användas.
  • Send reports and logs to Sophos Central är aktiv om detektioner ska vara synliga i Sophos Central.
  • De relevanta loggtyperna är aktiverade under System services > Log settings.
  • För NDR Active Threat Intelligence är IPS-loggning aktiv.
  • För NDR Essentials är Active-Threat-Response-loggning aktiv.
  • Det finns en definierad ägare för granskning, justering, undantag och eskalering.

Innan aktivering måste plattformens gränser kontrolleras. NDR Essentials stöder inte Active-Active-HA-distribution. NDR Active Threat Intelligence stöds inte på XGS 87, XGS 87w, XGS 88 och XGS 88w. I HA-miljöer bör man därför först kontrollera Förstå Sophos Firewall HA Cluster-varianter.

Konfigurera NDR Essentials

NDR Essentials konfigureras i området Protect > Active threat response respektive Active Threat Response > NDR Essentials and Active Threat Intelligence. Den exakta benämningen beror på SFOS-versionen.

Grundläggande steg:

  1. Aktivera NDR Essentials.
  2. Lägg till relevanta gränssnitt.
  3. Välj datacenterplats för analys.
  4. Sätt medvetet minimum threat score.
  5. Kontrollera åtgärd. NDR Essentials upptäcker och loggar initialt.
  6. Öppna System services > Log settings.
  7. Aktivera loggning för Active threat response.
  8. Spara och kontrollera efter några minuter Log Viewer, Reports eller Central.

Vid val av gränssnitt bör man inte välja allt godtyckligt. Det är meningsfullt med gränssnitt där relevant klient-, server- eller DMZ-trafik går. WAN-gränssnitt är inte rätt plats för denna NDR-utvärdering; planeringen bör fokusera på LAN-, DMZ- och anpassade zoner. Icke-stödda gränssnittstyper som RED- eller XFRM-gränssnitt bör också beaktas före utrullning.

Om inga gränssnitt väljs, upptäcker NDR Essentials inga nya IoCs från trafiken. Brandväggen kan dock fortfarande arbeta med redan upptäckta IoCs. Detta är lätt att förbise i drift.

Konfigurera NDR Active Threat Intelligence

NDR Active Threat Intelligence använder kuraterade Taegis-NDR-detekteringsmönster. Brandväggen upptäcker och loggar lämpliga händelser och vidarebefordrar dem till Sophos Data Lake. Dessa signaler kan sedan undersökas i Sophos Central, XDR, MDR eller i ett SOC-sammanhang.

Grundläggande steg:

  1. Öppna Active Threat Response > NDR Essentials and Active Threat Intelligence.
  2. Aktivera NDR Active threat intelligence.
  3. Välj minimum severity level.
  4. Kontrollera Action. Åtgärden är inställd på Log threats.
  5. Öppna System services > Log settings.
  6. Aktivera IPS-loggning.
  7. Spara.
  8. Öppna därefter de relevanta brandväggsreglerna.
  9. Under Other security features aktivera alternativet Scan with NDR Active threat intelligence.
  10. Spara ändringar och validera med definierad trafik.

Den sista punkten är avgörande. Den globala aktiveringen räcker inte. NDR Active Threat Intelligence måste aktiveras i varje brandväggsregel vars trafik ska analyseras.

Vilka regler man väljer först

En bra utrullning börjar inte med alla regler samtidigt. Bättre är en kontrollerad pilot med lättförståelig trafik.

Lämpliga startpunkter:

  • Klientnätverk med internetåtkomst.
  • Servernätverk med utgående internetåtkomst.
  • DMZ-regler med publicerade tjänster.
  • Regler för särskilt kritiska interna segment.
  • Regler med redan aktiverat IPS-, webb- eller TLS-inspektionskoncept.

Regler utan tydlig loggning, utan ägare eller med mycket bred oklassificerad trafik är ingen bra start. Där bör regelbasen först rensas. För regelanalys och matchning passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Synlighet och TLS-inspektion

NDR-signaler är bara så bra som brandväggens synlighet. Om trafiken är krypterad och brandväggen bara ser mål-IP eller SNI, förblir vissa mönster osynliga. Om webb- eller TLS-inspektion är välplanerad kan brandväggen granska mer kontext.

Det betyder inte att man ska aktivera TLS-inspektion överallt omedelbart. TLS-inspektion är ett eget driftsprojekt med certifikat, undantag, dataskydd, prestanda och supportinsatser. För en planerad utrullning passar Införa Sophos Firewall TLS-inspektion korrekt.

Även QUIC och HTTP/3 kan påverka webb- och inspektionskoncept. Om webbläsartrafik går förbi klassiska HTTPS-inspektionsvägar bör Blockera Sophos Firewall QUIC och HTTP/3 korrekt kontrolleras.

Loggar och utvärdering

Utan loggutvärdering är NDR knappt användbart. Beroende på funktion är olika loggområden relevanta.

OmrådeVar att kontrollera
NDR EssentialsActive threat response Logs, Threat indicators, Central Reporting eller SIEM
NDR Active Threat IntelligenceIPS-loggar, Log Viewer-filter Category is NDR Active threat intelligence, Central Firewall Reporting
XDR/MDR-utvärderingSophos Central Threat Analysis Center, Detections eller Cases
Långsiktig korrelationSyslog, SIEM, SOC- eller MDR-plattform

För Sophos Central måste brandväggen skicka loggar och rapporter till Central. Proceduren finns i Aktivera och driva Sophos Firewall Central Reporting. För ett eget SIEM måste rätt loggtyp vidarebefordras via Syslog och parsas i målsystemet. Bara att aktivera funktionen bevisar alltså inte att detektioner senare är sökbara.

Kontrollpunkter efter aktivering:

  • Visas lokala loggposter i Log Viewer?
  • Skickas Active-Threat-Response- eller IPS-loggar till Central?
  • Kommer loggarna till SIEM?
  • Känns fält som Source, Destination, Firewall, Rule ID och kategori igen korrekt?
  • Finns det en instrumentpanel eller en sökning för NDR-/ATR-träffar?
  • Är det klart vem som utvärderar träffar?

Vad som bör hända vid en träff

En träff är först en undersökningssignal. Inte varje träff är automatiskt en bekräftad attack, men varje relevant träff behöver en procedur.

Minimal procedur:

  1. Registrera Source IP, Destination IP, användare, regel och tidpunkt.
  2. Kontrollera i Log Viewer vilken regel och vilket modul som var inblandade.
  3. Sök efter fler händelser från samma värd i Central, XDR, MDR eller SIEM.
  4. Korrelatera endpoint-, DNS-, webb- och autentiseringsloggar.
  5. Avgör om isolering, brandväggsblockering, Threat-Feed-undantag eller ytterligare analys behövs.
  6. Dokumentera resultatet.

Vid upprepade falska positiva bör man inte omedelbart sätta ett brett undantag. Bättre är ett snävt undantag med anledning, ärende och granskningsdatum. Undantag i Active Threat Response kan ta bort skyddseffekten och bör därför ingå i en kontrollerad process.

Typiska fel

  • NDR Active Threat Intelligence aktiveras globalt, men inte i brandväggsreglerna.
  • NDR Essentials aktiveras, men inga lämpliga gränssnitt väljs.
  • IPS- eller Active-Threat-Response-loggning är inte aktiv.
  • Central Reporting eller Syslog är inte inställt, trots att central utvärdering förväntas.
  • Detektioner genereras, men ingen granskar dem.
  • Severity eller Threat Score sätts för känsligt och skapar onödigt brus.
  • Undantag sätts för brett.
  • Active-Active HA eller små XGS-modeller planeras in, trots att funktionen inte stöds där.
  • TLS-inspektion behandlas som en sidoaspekt istället för att planeras noggrant.

Checklista

  • SFOS-version och licens kontrollerad.
  • Stödd appliance eller plattform bekräftad.
  • HA-läge kontrollerat.
  • Sophos Central-registrering kontrollerad om Central Reporting, XDR eller MDR används.
  • Relevanta loggtyper under System services > Log settings aktiverade.
  • NDR Essentials-gränssnitt medvetet valda.
  • Datacenterplats och minimum threat score dokumenterade.
  • NDR Active Threat Intelligence aktiverad.
  • Relevanta brandväggsregler med Scan with NDR Active threat intelligence försedda.
  • Log Viewer, Central Reporting eller SIEM kontrollerade för träffar.
  • Ägare, larm, falsk-positiv-process och granskningsintervall dokumenterade.

Vanliga frågor

Är NDR Essentials samma som NDR Active Threat Intelligence?

Nej. NDR Essentials analyserar utvalda brandväggstrafikflöden och upptäcker IoCs som IP-adresser eller domäner. NDR Active Threat Intelligence använder kuraterade Taegis-NDR-mönster, loggar misstänkta händelser och skickar dem till Sophos Data Lake.

Blockerar NDR Active Threat Intelligence automatiskt?

Funktionen är främst inriktad på detektion och loggning. Åtgärden är inställd på Log threats. Träffar bör utvärderas i loggar, Central, XDR, MDR eller SIEM och därefter hanteras operativt.

Varför ser man inga NDR Active Threat Intelligence-träffar?

Ofta är funktionen globalt aktiv, men inte aktiverad i de relevanta brandväggsreglerna. Dessutom måste IPS-loggning vara aktiv och den berörda trafiken måste gå genom en regel där Scan with NDR Active threat intelligence är aktiverad.

Behöver man fortfarande tredjeparts Threat Feeds trots NDR?

Ja, i många miljöer kompletterar funktionerna varandra. NDR ger detektionssignaler och mönsterigenkänning. Tredjeparts Threat Feeds kan övervaka eller blockera kända skadliga IP:er, domäner eller URL:er baserat på externa listor.

Ersätter brandväggs-NDR ett SIEM eller MDR?

Nej. Brandväggs-NDR ger ytterligare signaler. För långsiktig korrelation, larm, ärendehantering och incidentrespons behövs fortfarande Central Reporting, XDR, MDR, SIEM eller en tydlig intern process.