Aktive Reaktion auf Bedrohungen
Active Threat Response bietet eine sofortige und automatisierte Reaktion auf aktive Angreifer mit hochentwickelter Software und Netzwerkkenntnissen. Diese Angreifer versuchen, in Ihr Netzwerk und Ihre Systeme einzudringen und passen ihre Techniken kontinuierlich mithilfe praktischer Tastatur- und KI-gestützter Methoden an.
Active Threat Response bietet mehrere Module mit Threat Intelligence-Feeds, sodass die Firewall die Abwehrmaßnahmen sofort und ohne manuelles Eingreifen koordinieren kann.
Die Module sind wie folgt:
- MDR-Bedrohungs-Feeds
- Sophos X-Ops Bedrohungs-Feeds
Sie können einige oder alle davon konfigurieren. Die Konfiguration ist einfach, da die Bedrohungs-Feeds in die Firewall integriert sind.
Durch die Integration kann die Firewall außerdem sofort und ohne Verzögerungen bei der Behebung Maßnahmen ergreifen und bietet so einen wirksamen Schutz vor Bedrohungen.
Was sind Bedrohungs-Feeds?
Bedrohungsfeeds sind eine Liste von IP-Adressen, Domänen und URLs, die an Bedrohungsaktivitäten wie Phishing und Malware beteiligt sind. Diese Objekte werden als Indikatoren für Kompromittierung (Indicators of Compromise, IoCs) oder Angriffsindikatoren bezeichnet.
Je nach Threat-Feed-Modul bleibt die Firewall in regelmäßigen Abständen oder basierend auf Bedrohungsinformationen über die neuesten Indikatoren der Threat-Feeds auf dem Laufenden.
Wenn Sie die Einstellungen eines Bedrohungs-Feeds konfigurieren, erlauben Sie der Firewall, den mit den IoCs im Feed verbundenen Datenverkehr zu blockieren oder zu überwachen.
Notiz
Wir empfehlen, die Firewall so zu konfigurieren, dass der mit IoCs in Zusammenhang stehende Datenverkehr blockiert wird, anstatt nur die Ereignisse zu protokollieren.
Zusammenfassung der Bedrohungsfeed-Module
Informieren Sie sich über die Funktionen der einzelnen Threat-Feed-Module und deren Lizenzanforderungen:
| Bedrohungsfeed-Modul | Beschreibung |
|---|---|
| MDR-Bedrohungs-Feeds | Sophos MDR-Analysten geben Informationen über aktive Bedrohungen in Ihrem Netzwerk an die Firewall weiter. |
| Sophos X-Ops Bedrohungsfeeds | Bedrohungsdatenbank von SophosLabs. |
Lizenzen und zusätzliche Firewall-Konfigurationen finden Sie unter Anforderungen für Bedrohungsfeeds.
Informationen zu Bedrohungsfeed-Konfigurationen finden Sie unter Konfigurieren von Bedrohungsfeeds.
Das folgende Diagramm zeigt, wie die verschiedenen Threat-Feed-Module mit der Firewall zusammenarbeiten.
Wie die Firewall Bedrohungsfeeds implementiert
Die Firewall implementiert zunächst MDR-Bedrohungsfeeds, gefolgt von Sophos X-Ops-Bedrohungsfeeds.
Wenn in beiden Bedrohungs-Feeds ein IoC vorhanden ist, ergreift die Firewall Maßnahmen basierend auf den folgenden von Ihnen ausgewählten Optionen:
- Protokollieren und ablegen: Unterbricht den Datenverkehr, protokolliert das Ereignis unter MDR und überprüft den anderen Bedrohungs-Feed nicht.
- Nur protokollieren oder Monitor: Protokolliert einzelne Ereignisse für MDR- und Sophos X-Ops-Bedrohungs-Feeds.
Notiz
Gehe zu Systemdienste > Protokolleinstellungen und stellen Sie sicher, dass Protokolle für die aktive Bedrohungsreaktion aktiviert sind.
Bedrohungsschutz nach Verkehrstyp
Die folgende Tabelle zeigt die Details der Verkehrstypen, die die Active Threat Response-Module schützen:
Weitergeleiteter Verkehr
| Verkehrsart | MDR | Sophos X-Ops |
|---|---|---|
| Quell-IP-Adressübereinstimmung für ausgehenden Datenverkehr | ||
| Ziel-IP-Adresse, Domäne und URL stimmen für ausgehenden Datenverkehr überein |
Notiz
Die aktive Bedrohungsreaktion stimmt nicht mit der Quell-IP-Adresse für weitergeleiteten Datenverkehr überein, der in das Netzwerk gelangt, wie etwa DNAT- und WAF-Datenverkehr.
Systemspezifischer Verkehr
| Verkehrsart | MDR | Sophos X-Ops |
|---|---|---|
| Quell-IP-Adressübereinstimmung für Datenverkehr zu den in aufgeführten Diensten Verwaltung > Gerätezugriff, wie die Web-Admin-Konsole, das VPN-Portal und VPN |
Weitere Ressourcen