Sophos Firewall v21.5:NDR Essentials

製品SFOS v21.5Sophos Firewall

Sophos Firewall v21.5 の新機能を最大限に活用する方法

20254月 16作成者:

Sophos Firewall v21 は、ファイアウォールと NDR (Network Detection and Response) を統合し、業界初の革新的な機能を提供しています。

NDR とは

Network Detection and Response (NDR) は、ネットワークセキュリティ製品の一種であり、異常なトラフィックの挙動を検出し、ネットワークで活動するアクティブアドバーサリーを特定できるように設計されています。高度なスキルを有する攻撃者は検出を回避する方法に長けていますが、攻撃を実行するためには、最終的にはネットワークを必ず移動し、ネットワークの外部から通信する必要があります。NDR は通常、ネットワーク内に設置され、ネットワークトラフィックを監視および分析するセンサーを利用して、このような攻撃が疑われるアクティビティを特定します。

NDR 製品は古くから利用されており、Sophos NDR は 2023 年の初めから MDR/XDR 製品ポートフォリオに組み込まれています。しかし、SFOS v21.5 では、業界初の試みとして、Sophos Firewall に NDR を統合し、Xstream Protection を使用している Sophos Firewall のお客様が追加料金なしでご利用いただけるようになりました。

NDR を次世代ファイアウォールと統合することは、一見すると当然のアプローチに思えるかもしれません。しかし、ファイアウォールのパフォーマンスに影響を与えずに統合を実現することは、これまで大きな課題となっていました。NDR のトラフィック解析には、膨大な処理能力が求められます。  この課題を解決するため、ソフォスは、NDR ソリューションを Sophos Cloud に展開することで、ファイアウォールの負荷を軽減するという斬新なアプローチを採用しました。

Sophos NDR Essentials

Sophos Firewall v21.5 では、クラウドから NDR プラットフォームを提供する新しい NDR Essentials が導入されました。NDR Essentials は、AI を活用した先進的な検出技術により、アクティブアドバーサリーを特定します。さらに、Active Threat Response の一環として Sophos Firewall の脅威フィード API を通じて情報を共有し、検出された脅威とその相対的リスクをリアルタイムで通知します。

このデモビデオでその仕組みをご覧いただくか、以下の詳細をお読みください。

 

Sophos Firewall と NDR Essentials の連携の仕組み

Sophos Firewall は、TLS で暗号化されたトラフィックと DNS クエリからメタデータを取得し、その情報を Sophos Cloud 内の NDR Essentials に送信し、複数の AI エンジンを使用してデータが分析されます。  TLS トラフィックを復号することなく、暗号化された悪意のあるペイロードを検出できるほか、侵害の重要な兆候となるアルゴリズム生成ドメイン (DGA) や異常なドメインも識別します。

メタデータの抽出は、Xstream FastPath に実装された新しい軽量なエンジンによって実行されるため、XGS シリーズハードウェアのファイアウォールでのみ利用可能であることに注意してください。仮想ファイアウォール、ソフトウェアファイアウォール、クラウドファイアウォールは、将来的にこの NDR が統合される可能性がありますが、v21.5 では統合されていません。

Active Threat Response 内で、他の脅威フィードとあわせて NDR Essentials フィードを設定および監視します。

 

新しい NDR Essentials 脅威フィードは、上のスクリーンショットに示すように、ファイアウォールの Active Threat Response エリアで他の脅威フィード (Sophos X-Ops フィード、MDR フィード、サードパーティフィード) と共に管理されます。スイッチをオンにして、監視する内部インターフェースを選択し、検出リスクの最小しきい値を設定するだけでセットアップは簡単に完了できます。

NDR Essentials によって検出された脅威は、1 (低リスク) から 10 (高リスク) の範囲でスコアが付けられます。アラートを発行するしきい値とするリスクスコアは、お客様の環境に合わせて決定してください。推奨されるデフォルトスコアは、高リスクを示すスコア 9~10 です。  検出されたスコアが 6 以上の脅威はすべてログに記録されますが、しきい値を以上となった場合にのみが通知し、新しいコントロールセンターのダッシュボードウィジェットにアラートとして表示されます。  スコアが 6 未満の検出は誤検出の可能性があるため、ログには記録されません。NDR Essentials の検出は現在ブロックされませんが、将来的にはブロックするオプションを追加する可能性があります。  すべての検出結果は、Active Threat Response レポートで確認できます。これはオンボックスレポートおよび Sophos Central Firewall Reporting の両方で利用できます。

 

NDR Essentials と Sophos NDR の比較

簡単に言うと、Sophos NDR Essentials は Sophos NDR の「軽量版」です。

Sophos NDR は、ネットワークの深部に設置されるように設計されており、不審なアクティビティや、LAN 内を通過する東西方向 (水平方向) のフローだけでなく、南北方向 (つまり内部および外部) に向かうトラフィックフローも効果的に監視および検出できます。  ファイアウォールはネットワークのゲートウェイに配置され、南北方向のトラフィックを検査するように設計されています。そのため、NDR Essentials は、ネットワーク内部に配置されたフル版の NDR ソリューションと同じように、ネットワークゲートウェイを可視化することはできません。

フル版の Sophos NDR ソリューションでは、5 種類の AI 検出エンジンが利用されています。NDR Essentials のこの最初のバージョンでは、ゲートウェイのトラフィックインスペクションに最も関連性が高く、効果的な 2 つのエンジンである、  暗号化されたペイロードを分析するエンジンとドメイン生成アルゴリズムエンジンが実装されています。現時点では、Sophos NDR には他のエンジンも実装されているため、NDR Essentials よりも深いカバレッジと優れた検出機能を提供します。

要約すると、NDR Essentials は Sophos Firewall に進行中の脅威を検出する追加の優れた機能を提供します。NDR Essentials は追加料金なしで利用でき、パフォーマンスへの影響もありません。ただし、ソフォスの XDR プラットフォームや MDR サービスを利用されているお客様にとって、フル版の Sophos NDR の代替とはなりません。検出された脅威に対するさらに詳細な洞察と脅威ハンティング機能を必要とされる場合は、新しい NDR の調査コンソールが追加され Sophos NDR のすべての機能を実装する、Sophos XDR (Extended Detection and Response) を利用されることを強くお勧めします。また、24 時間 365 日体制で稼働する MDR サービスもご検討ください。  これらの製品やサービスはすべて、Sophos Firewall と連携してさらに優れた効果を発揮します。

 

今すぐ評価する

アーリーアクセスプログラムにご参加いただくと、Sophos Firewall v21.5 のこの優れた新機能をご利用いただけます。アーリーアクセスプログラムに登録し、メールに記載されているリンクをクリックしてファームウェアのアップデートパッケージをダウンロードし、Sophos Firewall にインストールするだけです。

著者について

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.