Sophos Firewall v21 unterstützt jetzt Bedrohungsfeeds von Drittanbietern für Active Threat Response.
Mit Active Threat Response wurde in Sophos Firewall v20 erstmals ein neues, umfassendes Framework für Bedrohungsfeeds eingeführt, um automatisch auf aktive Bedrohungen reagieren zu können. Zu Beginn wurden dynamische Threat Intelligence Feeds von Sophos X-Ops und Sophos MDR unterstützt. Hierdurch war die Firewall in der Lage, automatisch zu reagieren und den Zugriff für alle über dieses Framework veröffentlichten Bedrohungen zu sperren.
Während das für die meisten Kunden ausreicht, sind für einige Regionen oder Branchen bestimmte benutzerdefinierte Bedrohungsfeeds empfehlenswert oder erforderlich. Auch unsere Partner-Community, SoC-Anbieter und viele Kunden haben Interesse an einer umfassenden Bedrohungsfeed-Funktion bekundet, um bestehende und neue Threat Detection and Response-Lösungen und -Services zur unterstützen.
Um diese Anwendungsfälle möglich zu machen, erweitert Sophos Firewall v21 das Bedrohungsfeed-Framework um Bedrohungsfeeds von Drittanbietern. Sie können nun einfach weitere vertikale oder individuelle Bedrohungsfeeds zur Firewall hinzufügen, bei denen die Überwachung und Reaktion genauso automatisch abläuft wie gewohnt: Mit Bedrohungen verknüpfte Aktivitäten werden auf allen Sicherheits-Engines (IPS, DNS, Web und AV) gesperrt, ohne dass zusätzliche Firewall-Regeln hinzugefügt werden müssen.
Bedrohungsfeeds von Drittanbietern und Active Threat Response ergreifen darüber hinaus dieselben Synchronized-Security-Maßnahmen wie bei einem roten Security Heartbeat. Die Sophos Firewall setzt alle Firewall-Regeln mit roten Heartbeat-Konditionen durch und koordiniert außerdem die Lateral Movement Protection mit Ihren Sophos Endpoints. Dadurch werden alle sicheren verwalteten Endpoints benachrichtigt, wenn ein Host im LAN kompromittiert ist, sodass Traffic von diesem Gerät blockiert werden kann.
Im Video unten sehen Sie:
- Wie Sie Bedrohungsfeeds von Drittanbietern einrichten
- Wie Active Threat Response und Lateral Movement Protection funktionieren
- Wie Sie das neue Dashboard und Reporting-Funktionen nutzen
Weitere Informationen finden Sie in der Online-Dokumentation.
Unterstützt werden viele unterschiedliche spezialisierte und branchenspezifische Bedrohungsfeeds, u. a. Feeds von Sicherheitsorganisationen, Branchenkonsortien und Community- oder Open-Source-basierten Threat Intelligence-Quellen. GreyNoise ist ein gutes Beispiel für solche Feeds. Sie finden die Sophos Firewall-Integration auch auf der GreyNoise-Website. Weitere Beispiele sind:
- Cisco Talos
- Abuse.ch / URLhaus
- Hakk Solutions
- OSINT (Open-Source Intelligence)/DigitalSide
- CINS-Wert
- CrowdSec
- EclicticIQ
- Feodo Tracker
- Und vieles mehr!
Im Rahmen des Early-Access-Programms können Sie diese neue Funktion in Sophos Firewall v21 direkt nutzen. Melden Sie sich einfach für das Programm an und klicken Sie auf den Link in der E-Mail, um das Firmware-Update-Paket herunterzuladen. Installieren Sie es anschließend auf Ihrer Sophos Firewall.