Aktive Reaktion auf Bedrohungen
Active Threat Response bietet eine sofortige und automatisierte Reaktion auf aktive Angreifer mit hochentwickelter Software und Netzwerkkenntnissen. Diese Angreifer versuchen, in Ihr Netzwerk und Ihre Systeme einzudringen und passen ihre Techniken kontinuierlich mithilfe praktischer Tastatur- und KI-gestützter Methoden an.
Active Threat Response bietet mehrere Module mit Threat Intelligence-Feeds, sodass die Firewall die Abwehrmaßnahmen sofort und ohne manuelles Eingreifen koordinieren kann.
Die Module sind wie folgt:
- MDR-Bedrohungs-Feeds
- Sophos X-Ops Bedrohungsfeeds
- Bedrohungsfeeds von Drittanbietern
Sie können einige oder alle davon konfigurieren. Die Konfiguration ist einfach, da Bedrohungsfeeds wie MDR und Sophos X-Ops in die Firewall integriert sind.
Durch die Integration kann die Firewall außerdem sofort und ohne Verzögerungen bei der Behebung Maßnahmen ergreifen und bietet so einen wirksamen Schutz vor Bedrohungen.
Was sind Bedrohungs-Feeds?
Bedrohungsfeeds sind eine Liste von IP-Adressen, Domänen und URLs, die an Bedrohungsaktivitäten wie Phishing und Malware beteiligt sind. Diese Objekte werden als Indikatoren für Kompromittierung (Indicators of Compromise, IoCs) oder Angriffsindikatoren bezeichnet.
Je nach Bedrohungsfeed-Modul bleibt die Firewall in regelmäßigen Abständen oder basierend auf Bedrohungsinformationen über die neuesten Indikatoren der Bedrohungsfeeds auf dem Laufenden.
Wenn Sie die Einstellungen eines Bedrohungs-Feeds konfigurieren, erlauben Sie der Firewall, den mit den IoCs im Feed verbundenen Datenverkehr zu blockieren oder zu überwachen.
Notiz
Wir empfehlen, die Firewall so zu konfigurieren, dass der mit IoCs in Zusammenhang stehende Datenverkehr blockiert wird, anstatt nur die Ereignisse zu protokollieren.
Zusammenfassung der Bedrohungsfeed-Module
Informieren Sie sich über die Funktionen der einzelnen Threat-Feed-Module und deren Lizenzanforderungen:
| Bedrohungsfeed-Modul | Beschreibung |
|---|---|
| MDR-Bedrohungs-Feeds | Sophos MDR-Analysten geben Informationen über aktive Bedrohungen in Ihrem Netzwerk an die Firewall weiter. |
| Sophos X-Ops Bedrohungsfeeds | Bedrohungsdatenbank von SophosLabs. |
| Bedrohungsfeeds von Drittanbietern | Von Ihnen konfigurierte Feed-URLs. |
Lizenzen und zusätzliche Firewall-Konfigurationen finden Sie unter Anforderungen für Bedrohungsfeeds.
Informationen zu Bedrohungsfeed-Konfigurationen finden Sie unter Konfigurieren von Bedrohungsfeeds.
Das folgende Diagramm zeigt, wie die verschiedenen Threat-Feed-Module mit der Firewall zusammenarbeiten.
Bedrohungsschutz nach Verkehrstyp
Die folgende Tabelle zeigt die Details der Verkehrstypen, die die Active Threat Response-Module schützen:
Weitergeleiteter Verkehr
| Verkehrsart | MDR | Bedrohungsfeeds von Drittanbietern | Sophos X-Ops |
|---|---|---|---|
| Quell-IP-Adressübereinstimmung für ausgehenden Datenverkehr | |||
| Ziel-IP-Adresse, Domäne und URL stimmen für ausgehenden Datenverkehr überein |
Notiz
Die aktive Bedrohungsreaktion stimmt nicht mit der Quell-IP-Adresse für weitergeleiteten Datenverkehr überein, der in das Netzwerk gelangt, wie etwa DNAT- und WAF-Datenverkehr.
Systemspezifischer Verkehr
| Verkehrsart | MDR | Bedrohungsfeeds von Drittanbietern | Sophos X-Ops |
|---|---|---|---|
| Quell-IP-Adressübereinstimmung für Datenverkehr zu den in aufgeführten Diensten Verwaltung > Gerätezugriff, wie die Web-Admin-Konsole, das VPN-Portal und VPN |