Sophos Firewall v21.5 : NDR Essentials

ProductsSFOS v21.5Sophos Firewall

Comment exploiter au maximum les nouvelles fonctionnalités de Sophos Firewall v21.5.

16 Avr 2025 Par

Sophos Firewall v21 offre une innovante inédite dans le secteur : une fonctionnalité NDR (Network Detection and Response) intégrée à votre pare-feu.

Qu’est-ce que le NDR ?

La fonctionnalité NDR (Network Detection and Response) représente une catégorie de produit de sécurité réseau conçue pour détecter un comportement de trafic anormal afin d’aider à identifier les adversaires actifs opérant sur le réseau. Les attaquants qualifiés sont très efficaces pour échapper à la détection, mais ils doivent à un moment donné se déplacer ou communiquer hors du réseau pour mener à bien une attaque. Le NDR se trouve généralement au sein du réseau, utilisant des capteurs qui surveillent et analysent le trafic réseau pour identifier ce type d’activité suspecte.

Les produits NDR existent depuis de nombreuses années et Sophos NDR fait partie de notre gamme de produits MDR/XDR depuis début 2023. Cependant, avec SFOS v21.5, nous intégrons le NDR à Sophos Firewall, une première dans notre secteur, sans frais supplémentaires pour les clients Sophos Firewall avec Xstream Protection.

L’intégration du NDR avec un Firewall Next-Gen peut sembler un choix évident, mais le défi consiste à le faire d’une manière qui n’affecte pas les performances du pare-feu, car l’analyse du trafic NDR nécessite une puissance de traitement importante.  Par conséquent, nous avons adopté une approche novatrice consistant à déployer une solution NDR dans le Cloud Sophos pour soulager le pare-feu de cette lourde tâche.

Sophos NDR Essentials

Sophos Firewall v21.5 intègre à présent, NDR Essentials, notre nouvelle plateforme NDR (Network Detection and Response) fournie depuis le Cloud. Il utilise les dernières détections basées sur l’IA pour aider à identifier les adversaires actifs et partage ces informations à l’aide de l’API dédiée aux flux de menaces de Sophos Firewall dans le cadre de la ‘réponse active aux menaces’ (Active Threat Response) pour vous tenir informé de toutes les détections et de leurs risques relatifs.

Regardez cette vidéo de démonstration rapide pour voir comment NDR Essentials fonctionne ou bien continuez la lecture de cet article pour obtenir plus de détails :

 

Fonctionnement

Sophos Firewall capture les métadonnées du trafic chiffré TLS et des requêtes DNS et envoie ces informations à NDR Essentials dans Sophos Cloud. Ensuite, les données sont analysées à l’aide de plusieurs moteurs IA.  Il peut détecter les charges virales chiffrées malveillantes sans effectuer de déchiffrement TLS ainsi que les domaines nouveaux et inhabituels générés par des algorithmes qui sont souvent un indicateur majeur de compromission.

L’extraction des métadonnées est effectuée par un nouveau moteur léger implémenté au niveau de Xstream FastPath et, par conséquent, l’un des inconvénients de cette nouvelle capacité est qu’elle n’est disponible que sur les pare-feu matériels de la série XGS. Les pare-feu virtuels, logiciels et Cloud pourront bénéficier de cette capacité d’intégration NDR à l’avenir, mais pas dans la version 21.5.

Configurez et surveillez votre flux NDR Essentials dans la section « Réponse active aux menaces » (Active Threat Response) en parallèle de vos autres flux de menaces.

 

Le nouveau flux de menaces NDR Essentials est géré avec vos autres flux de menaces (Sophos X-Ops, MDR et flux tiers) dans la zone dédiée “Réponse active aux menaces” (Active Threat Response) du pare-feu, comme indiqué dans la capture d’écran ci-dessus. L’installation est simple : actionnez le switch approprié pour l’activer, sélectionnez ensuite les interfaces internes à surveiller, définissez un seuil minimum en matière de risque de détection, et le tour est joué !

Les détections NDR Essentials sont notées sur une échelle allant de 1 (risque faible) à 10 (risque le plus élevé). Vous décidez le score de risque qui définit le seuil d’une alerte en fonction de votre environnement spécifique. La valeur par défaut recommandée est celle à haut risque (9-10).  Toutes les détections dont le score est supérieur ou égal à 6 seront journalisées, mais seules celles qui atteignent ou dépassent votre seuil déclencheront des notifications et seront affichées sous forme d’alertes au niveau du nouveau widget du tableau de bord de votre Centre de Contrôle (Control Center).  Les détections notées moins de 6 peuvent être de faux positifs et ne seront donc pas journalisées. Aucune détection NDR Essentials ne sera bloquée pour le moment, mais cette possibilité pourrait être une option proposée à l’avenir.  Toutes les détections sont entièrement accessibles via le rapport « Réponse active aux menaces » (Active Threat Response) disponible à la fois en mode on-box et via Sophos Central Firewall Reporting.

 

Quelle est la différence entre NDR Essentials et Sophos NDR ?

Pour faire simple, Sophos NDR Essentials est une version « allégée » de Sophos NDR.

Sophos NDR est conçu pour s’implanter en profondeur au sein du réseau afin de pouvoir surveiller et détecter efficacement les activités suspectes ainsi que les flux de trafic nord-sud (de l’intérieur vers l’extérieur) et les flux est-ouest qui traversent le LAN en interne.  Comme vous le savez, un pare-feu est conçu pour se placer au niveau de la passerelle réseau et inspecter le trafic nord-sud. Ainsi, NDR Essentials n’a pas la même visibilité au niveau de la passerelle réseau qu’une solution NDR complète située à l’intérieur du réseau.

Notre solution complète Sophos NDR dispose de cinq moteurs de détection IA différents. Dans cette version initiale de NDR Essentials, nous avons implémenté les deux moteurs qui ont le plus de pertinence et d’impact lors de l’inspection du trafic de passerelle :  le moteur d’analyse de charge virale chiffrée (EPA : Encrypted Payload Analysis) et le moteur d’algorithme de génération de domaine (DGA : Domain Generation Algorithm). À ce stade, avec ses moteurs ajoutés, Sophos NDR offre une couverture plus approfondie et des capacités en matière de détection plus importantes que NDR Essentials.

En résumé, NDR Essentials fournit une excellente couche supplémentaire en matière de détection active des menaces au niveau de Sophos Firewall, et ce sans frais supplémentaires et sans impact sur les performances. Cependant, il ne s’agit pas d’une solution remplaçant une implémentation complète de Sophos NDR pour nos clients profitant déjà de notre plateforme XDR ou de notre service MDR. Si vous souhaitez des informations plus détaillées en matière de détection et des capacités de chasse aux menaces supplémentaires, nous vous encourageons vivement à consulter Sophos XDR (Extended Detection and Response) avec l’implémentation complète de Sophos NDR et la nouvelle console d’investigation NDR. Vous pouvez également envisager d’utiliser notre service Managed Detection and Response (MDR) complet 24 h/24 et 7j/7.  Tous ces produits et services fonctionneront mieux ensemble avec vos pare-feu Sophos Firewall.

 

Commencez dès aujourd’hui

Commencez à profiter de cette nouvelle fonctionnalité proposée par Sophos Firewall v21.5 en participant au programme d’accès anticipé (EAP). Inscrivez-vous au programme en cliquant sur le lien présent dans votre messagerie afin de télécharger le package de mise à jour du firmware et ensuite installez-le sur votre produit Sophos Firewall.

À propos de l’auteur

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.