Konfigurera Sophos Firewall Threat Feeds säkert
Sophos Firewall Threat Feeds från Cybora levererar kontinuerliga Threat Intelligence Feeds som automatiskt importerar Indicators of Compromise (IoCs) till Sophos Firewall. Sådana IoCs är till exempel skadliga IP-adresser, malware-domäner, phishing-URL:er eller kända botnet-C&C-servrar.
För det bredare hardening-sammanhanget passar hubben Sophos Firewall Hardening: best practices för säker konfiguration.
Därmed försvinner en stor del av det manuella underhållsarbetet. I stället för att manuellt lägga in enskilda angripar-IP-adresser eller domäner i host-objekt, firewall-regler eller blocklistor hämtar brandväggen data automatiskt från ett kuraterat feed och kan blockera relevant traffic.
Det är särskilt värdefullt så snart en brandvägg är synlig utifrån. Publika IP-adresser, DNAT-regler, WAF-publiceringar, VPN-portaler eller WebAdmin-åtkomster hittas ofta mycket snabbt av botar, scanners och automatiserade exploit-frameworks. Ett bra Threat Feed minskar denna oönskade traffic innan den når djupare in i miljön.
Kort sagt: Threat Feeds är starka när de förstås som en driftprocess. Välj feed, sätt rätt indikatortyp, testa först synligt, blockera därefter, kontrollera träffar regelbundet och hantera false positives rent. Att bara ansluta en stor lista är ingen bra säkerhetsstrategi.
Inordning
Vad Threat Feeds är
Threat Feeds, eller hotflöden, är listor över indikatorer på kompromettering. I praktiken är det hänvisningar till känd skadlig infrastruktur:
- IP-adresser: scanners, botnät, komprometterade system eller Command-and-Control-servrar.
- Domäner: malware-, phishing- eller C2-domäner.
- URL:er: konkreta skadliga sökvägar eller download-länkar.
Beroende på leverantör kommer dessa feeds från säkerhetsorganisationer, branschkonsortier, open-source-communities, kommersiell Threat Intelligence, honeypots eller egna sensorer. I Sophos Firewall v21 utökades funktionen med third-party feeds som integreras via Active Threat Response Framework.
Fördelarna är tydliga:
- Proaktivt skydd: Blockera hot innan skada uppstår.
- Flexibilitet: Använd feeds från olika leverantörer, anpassade till individuella krav.
- Automatisering: Brandväggen blockerar automatiskt; manuella ingrepp minskar.
- Avlastning: Oönskad traffic kastas tidigare och når inte ens interna tjänster.
Blanda inte ihop Threat-Feed-modulerna
Under Active threat response ligger flera funktioner bredvid varandra. Namnen låter liknande, men löser olika uppgifter.
- Sophos X-Ops Threat Feeds: Sophos egna indikatorer för kända hot. I drift aktiveras Network Protection-funktionen och loggar kontrolleras.
- MDR Threat Feeds: Hotinformation från Sophos MDR/XDR-kontext. I drift kopplas MDR-/Central-process och firewall-logging ihop.
- Third-Party Threat Feeds: Externa IoC-listor som Cybora som IP-, Domain- eller URL-feed. I drift ansvarar man för feedkvalitet, åtgärd, synkronisering och undantag.
- NDR Essentials / NDR Active Threat Intelligence: Identifiering av misstänkta traffic-mönster i stället för en ren IoC-lista. I drift ska detection-signaler utvärderas och inte blandas ihop med en blocklista.
Den här artikeln handlar främst om Third-Party Threat Feeds. För NDR och Active Threat Intelligence passar drift av Sophos Firewall NDR och Active Threat Response.
Typiska användningsområden
Threat Feeds är inte bara intressanta för utgående client traffic. Särskilt på offentligt nåbara tjänster ser man i praktiken snabbt automatiserade åtkomster.
- DNAT till interna servrar: Portvidarebefordringar skannas snabbt. Ett IPv4-feed kan blockera kända dåliga källor innan de når den interna servern.
- WAF-publiceringar: Webservrar ser ofta bot traffic, CVE-scans, CMS-probes och credential stuffing. Threat Feeds kompletterar WAF-regler med reputation.
- VPN Portal, User Portal och WebAdmin: Portaler bör först skyddas med Device Access, MFA och källnät. Threat Feeds minskar dessutom kända angriparkällor.
- Utgående client traffic: Domain- och URL-feeds kan blockera kända malware-, phishing- eller C2-mål.
- Hårt skannade WAN-adresser: Om en publik IP konstant ser bot traffic kan ett bra IPv4-feed avlasta brandväggen och loggarna märkbart.
Sedan SFOS 22 är Threat Feeds särskilt intressanta för inkommande, vidarebefordrad traffic som DNAT och WAF. Brandväggen kan därmed känna igen kända dåliga källor även framför publicerade tjänster. För äldre installationer eller blandade versioner bör man kontrollera denna punkt medvetet innan man utgår från samma skyddsnivå.
Threat Feeds ersätter däremot inte en ren publicering. Om en tjänst nås via DNAT eller WAF bör endast nödvändiga portar öppnas, källnät eller länder begränsas, IPS/WAF-regler aktiveras och loggar kontrolleras. Threat Feeds är en extra skyddsmodul, inte ett frikort för breda Any-regler.
Förutsättningar och licens
För att kunna använda Third-Party Threat Feeds behövs Xstream Protection Bundle på Sophos Firewall. För denna modul krävs inga extra Sophos Central-licenser. Andra Threat Feed-moduler har egna krav: Sophos X-Ops Threat Feeds kräver Network Protection, MDR Threat Feeds kräver dessutom Sophos MDR Essentials eller MDR Complete i Sophos Central och NDR Essentials kräver Xstream Appliance Bundle.
Före rollout bör man dessutom kontrollera:
- Brandväggen kör en SFOS-version med stöd för Third-Party Threat Feeds.
- Brandväggen når feed-URL:en via DNS och HTTPS.
- Ett tydligt Indicator type används per feed, till exempel
IPv4 address,DomainellerURL. - Feeden är en textfil med en indikator per rad.
- IP-intervall, IPv6-adresser, nätverksadresser, wildcard-domäner och reguljära uttryck är inte rätt format för Third-Party Threat Feeds.
- Logging för Active Threat Response är aktiverad.
- Det är klart om feeden först bara ska observeras eller blockera direkt.
Praktisk rekommendation: inför nya feeds kontrollerat. Om brandväggen tillåter det börjar man med en observationsfas, kontrollerar träffar i Log Viewer och växlar därefter till blockering. Då ser man tidigt om legitima system skulle påverkas.
URL-feeds och TLS Inspection
IP- och Domain-feeds är oftast enkla att förstå. URL-feeds är mer krävande eftersom brandväggen måste se den relevanta URL-sökvägen. Vid HTTPS-traffic är det inte alltid möjligt utan lämplig dekryptering.
Om URL-feeds ska användas produktivt måste man därför kontrollera om Web Proxy, DPI Engine och TLS Inspection passar miljön. Utan ren insyn i HTTPS-traffic kan ett URL-feed vara mindre effektivt än väntat.
Planering före rollout
Monitor eller Block?
Ett Threat Feed kan beroende på SFOS-version och konfiguration övervaka eller blockera. För produktiv säkerhet är blockering ofta målet, men inte varje feed bör direkt och blint sättas i blockläge.
- Monitor: Gör träffar synliga utan att blockera traffic direkt. Kontrollera loggvolym, berörda källor/mål och oväntade träffar.
- Block: Stoppa kända skadliga indikatorer aktivt. Förbered false-positive-process, avisering och undantag.
- Review: Kontrollera effekt och bieffekter. Bedöm feedkvalitet, gamla träffar, supportfall och verksamhetsrisk.
För starkt exponerade tjänster kan ett väl kuraterat IPv4-feed snabbt minska mycket brus. För Domain- eller URL-feeds bör man vara försiktigare, eftersom legitima tjänster oftare körs via delad infrastruktur, CDN:er eller redirect-kedjor.
Feed-ordning och position
När ett Third-Party Feed läggs till kan feed-positionen anges. Det verkar banalt, men är användbart i drift: kritiska, väl kuraterade feeds bör namnges och ordnas tydligt. Testfeeds, temporära feeds eller källor med högre false-positive-risk ska inte gömmas mellan produktiva feeds.
Praktisk namnkonvention:
- Produktivt IPv4-blockfeed:
cybora-premium-ipv4-block - Domain-feed i Monitor-läge:
cybora-standard-domain-monitor - Temporärt incident-feed:
incident-2026-06-c2-ipv4
Ett bra namn visar leverantör, plan eller syfte, indikatortyp och åtgärd. Det sparar tid i Log Viewer och vid senare reviews.
Synkronisering och Storage Quota
Sophos Firewall visar aktiva Third-Party Threat Feeds, totalt antal Threat Indicators, Storage Quota och synkroniseringsstatus. Dessa värden bör inte ignoreras efter konfigurationen.
Viktiga kontroller:
- Sync status:
Success,FetchingellerDisabledär snabba att klassificera. VidAuthentication error,Connection error,Storage full,SSL/TLS errorellerFailedbör orsak och feed kontrolleras riktat. - Last updated: Tidsstämpeln passar förväntat polling-intervall.
- Storage quota: Brandväggen har tillräckligt med plats för laddade IoCs.
- Threat indicators: Antalet passar ungefär leverantörens förväntan.
- Synchronize now: Manuell synkronisering fungerar när en ändring inte ska vänta på nästa polling-intervall.
Om Storage Quota är full är det inte automatiskt feedleverantörens fel. Små appliances har mindre spelrum än större modeller. Brandväggen fortsätter att hämta IoCs enligt det konfigurerade intervallet och uppdaterar listan när utrymme finns igen. Ändå bör feedomfång, indikatortyper och prioritet kontrolleras hellre än att fler listor läggs till.
På mindre XGS-modeller kan även polling-intervallet vara begränsat. Enligt Sophos stöder XGS 87/87w, 88/88w och 107/107w för Third-Party Threat Feeds endast 24h, 7d och 30d som Polling interval-alternativ. Om ett bokat feed uppdateras oftare bör denna plattformsskillnad beaktas i förväntningarna på aktualitet och blockeringseffekt.
Från Free till Ultimate Threat Feed – by Cybora
Tillförlitlig och aktuell hotinformation är avgörande. Avanet använder därför kuraterade Threat-Feed-planer från Cybora som är särskilt lämpade för Sophos Firewalls.
Feeds sätts samman från olika källor för att skapa så bred och tillförlitlig hotdetektering som möjligt. Det omfattar community- och OSINT-data, kommersiellt inköpt information, resultat från honeypots samt anonymiserade attack-, fel- och anomali-logs från verkliga Sophos-Firewall-miljöer.
Free (Basic) passar Home User, PoC och kompatibilitetstester. Standard kompletterar IPv4-feeden med viktiga malware- och phishing-domäner. Premium utökar täckningen med domäner och URL:er med uppdatering varje timme. Ultimate är avsett för kritisk infrastruktur och High-Risk-Perimeter med 15-minutersuppdateringar.
Med Sophos Firewall Threat Feeds kan känd skadlig infrastruktur filtreras bort tidigare. Beroende på miljö räcker kostnadsfria Basic-planen för tester, medan Standard, Premium och Ultimate är avsedda för produktiva krav med ökande täckning och aktualitet.
Cybora passar särskilt när ett konkret, köpbar feed för Sophos Firewall behövs och organisationen inte själv vill samla in, formatera, kontrollera och driva flera OSINT-listor. Det praktiska värdet ligger mindre i den största listan och mer i kuraterade indikatorer, tydliga feed-planer och ett driftspår som passar Sophos Firewalls Third-Party Threat Feed-funktion.
Jämför Threat Feeds
Free / Basic
Free (Basic)
$0/per år
- Uppdateringsintervall: var 24:e h
- IPv4: 20,000 IPv4
- Support: Ingen support
Grundskydd
Standard
$179/per år
- Uppdateringsintervall: var 6:e h
- IPv4: 85,000 IPv4
- Domäner: Topp 5,000 domäner
- Support: Standard
Avancerat skydd
Premium
$349/per år
- Uppdateringsintervall: varje timme
- IPv4: 220,000 IPv4
- Domäner: 45,000 Domäner
- URL:er: 25,000 URL:er
- Support: Prioritet
Verksamhetskritiskt skydd
Ultimate
$1,999/per år
- Uppdateringsintervall: var 15:e min
- IPv4: 300,000+ IPv4
- Domäner: 100,000+ Domäner
- URL:er: 100,000 URL:er
- Support: Mycket hög
Vid jämförelse bör man inte bara titta på antalet poster. En enorm lista är inte automatiskt bättre om den skapar många false positives eller underhålls dåligt. Avgörande är att feeden är aktuell, kuraterad och användbar för brandväggen.
Viktiga kriterier:
- aktualitet i data
- stödda indikatortyper
- kvalitet och kuratering av källor
- update-intervall
- false-positive-risk
- spårbarhet i Log Viewer
- rimlig undantagsprocess
Avanet Firewall Network
En del av Premium Feed består av data från ett distribuerat firewall-nätverk. Denna vy är särskilt intressant vid attackmönster som knappt syns på en enskild brandvägg.

Många verktyg känner utan problem igen brute-force-attacker från enskilda IP-adresser, men misslyckas vid distribuerade attacker via botnät. I sådana fall gör varje av angriparen kontrollerad host bara några få misslyckade inloggningsförsök med låg frekvens och undgår därmed detektering och blockering.
Vissa botnät omfattar hundratusentals infekterade hosts, vilket gör att cyberkriminella kan genomföra massiva brute-force-attacker utan att blockeras.
Ur sådana mönster skapas ett ständigt uppdaterat Threat Intelligence Feed med IP-adresser som har varit avvikande på flera system. Genom sammanföring och kontinuerlig inmatning av dessa data i Threat Intelligence Feed identifieras IP-adresser som attackerar infrastruktur riktat och blockeras automatiskt.
Vad Threat Feeds inte ersätter
Threat Feeds är starka, men de ersätter inte rena firewall-grunder.
De ersätter inte:
- restriktiva firewall-regler
- MFA för VPN, portaler och admin-åtkomster
- Device Access och Local Service ACL enligt Säkra åtkomst till Sophos Firewall
- IPS, WAF, Web Protection och TLS Inspection
- patch management och Hotfixes
- logging, reporting och regelbunden kontroll
Om en webbserver till exempel publiceras via DNAT bör firewall-regeln fortfarande ha så snäva källor som möjligt, konkreta services och aktiverad logging. Ett Threat Feed blockerar kända dåliga källor, men okända eller nya angripare kan fortfarande nå fram.
Konfigurera Sophos Firewall Threat Feed
Integrationen av Cybora Threat Feeds är okomplicerad och tar bara några minuter. Alla feeds är helt kompatibla med Sophos Firewalls Third-Party-Threat-Feed-funktion och kan läggas till via brandväggens webbgränssnitt så här:
- Öppna meny:
Protect > Active threat response > Third-party threat feeds > Add - Ange grunddata
- Name:
cybora-premium-ipv4 - Description:
Cybora Feed - Premium
- Name:
- Ange indikatortyp
- Indicator type:
IPv4 address,DomainellerURL - Skapa ett separat feed per indicator type om samma källa erbjuder IPs, domains och URLs.
- Indicator type:
- Välj åtgärd
- För produktiv blockering:
Block. - För försiktig start: välj
Monitoreller observerande åtgärd om det är tillgängligt och meningsfullt.
- För produktiv blockering:
- Ange Feed-URL
- Klistra in rätt adress från Avanet-feedlistan i fältet External URL.
- URL:en måste leverera en textfil med en indikator per rad.
- Ange hämtningsintervall
- Polling interval: välj passande för bokat feed.
- En kortare tid hjälper inte om själva feeden bara uppdateras med längre intervall.
- Konfigurera autentisering (vid behov)
- Beroende på feed utan autentisering, med API key eller Basic Authentication.
- Exponera inte åtkomstdata eller feed keys i tickets, screenshots eller offentlig dokumentation.
- Testa anslutning och spara
- Kör Test connection.
- Spara därefter med Save.

Efter sparandet bör man inte direkt gå vidare till nästa ämne. Kontrollera först att feeden synkroniseras, att förväntat antal IoCs syns och att Log Viewer visar träffar med feednamn, åtgärd, källa och mål på ett begripligt sätt.
Kontroll i drift
Efter konfigurationen bör man inte bara anta att allt passar. Viktigt är att träffar är synliga och går att förklara.
- Kontrollera
System services > Log settingsoch aktivera Active-Threat-Response-logging. - Filtrera på
Active threat responseiLog viewer. - Kontrollera vilket feed som träffade.
- Kontrollera källa, mål, service och berörd firewall-regel.
- Sätt inte breda undantag vid false positives, utan kontrollera och dokumentera den konkreta indikatorn.
Särskilt vid DNAT, WAF och VPN-portaler ser man efter aktivering ofta mycket snabbt hur mycket oönskad traffic som kommer från kända dåliga källor. Därför passar Threat Feeds särskilt bra som extra skyddsmodul för exponerade tjänster.
Om ett feed inte visar några träffar
Inga träffar betyder inte automatiskt att feeden är dålig. En annan Active Threat Response-komponent kan känna igen samma IoC tidigare, relevant trafik kanske inte passerar rätt firewall-regel eller brandväggen ser inte tillräckligt med kontext för domäner och URL:er.
Rimliga kontroller:
- Öppna Threat indicators och sök efter en känd testindikator.
- Kontrollera om feeden är aktiv och om Sync status visar
Success. - Vid
Authentication error, kontrollera åtkomstdata eller API key. - Vid
Connection error, kontrollera DNS, internetåtkomst, HTTP-status och feedserver. - Vid
SSL/TLS error, kontrollera CA-certifikat och certifikatkedja för feedservern. - Vid
Failed, kontrollera feedformat, filöppning i browsern och ogiltiga indikatorer. - Kontrollera firewall-regel och Log Viewer för förväntad trafik.
- Vid domain-feeds, kontrollera Application Classification eller IPS-policy.
- Vid URL-feeds, kontrollera Web Proxy, DPI och SSL/TLS inspection rule.
- Kontrollera Threat Exclusions, Web Exclusions och SSL/TLS Exclusion Lists.
- Om inga relevanta träffar uppstår efter en observationsfas, omvärdera feedomfång eller feedposition.
Hantera False Positives
False positives är möjliga med alla dynamiska blocklistor. Avgörande är hur rent de hanteras.
Praktiskt flöde:
- Öppna berörd loggrad i Log Viewer.
- Notera feednamn, indikatortyp, åtgärd, Source, Destination och Service.
- Kontrollera om trafiken är verksamhetsmässigt väntad och legitim.
- Kontrollera eller rapportera indikatorn hos feedleverantören.
- Sätt undantag så snävt som möjligt.
- Dokumentera ticket, orsak och review-datum.
En bred undantagsregel för hela nät är ingen bra lösning bara för att en användare “inte kan öppna en sida”. Vid URL- eller Domain-träffar bör man dessutom kontrollera om TLS Inspection, Web Policy, DNS Protection eller en annan säkerhetsfunktion är inblandad.
Driftchecklista
- Feednamn, leverantör, plan och owner dokumenterade.
- Indikatortyp per feed entydigt satt.
- Åtgärden
MonitorellerBlockmedvetet vald. - Polling-intervall passar feeden.
- Certifikatkontroll och autentisering testade.
- Synkroniseringsstatus och Storage Quota kontrollerade.
- Active-Threat-Response-logs synliga.
- False-positive-process med review-datum definierad.
- DNAT-, WAF- och VPN-scenarier bedömda efter SFOS-version.
- Larm eller Reports för återkommande träffar planerade.