Wie andere Module Bedrohungsfeeds implementieren
Mithilfe spezieller Firewall-Module kann die Firewall anhand der Art des Datenverkehrs und des IoC im Bedrohungsfeed Indikatoren für eine Kompromittierung (IoCs) identifizieren. IoCs sind IP-Adressen, Domänen und URLs, die an böswilligen Aktivitäten beteiligt sind.
Synchronized Security bietet Schutz vor Endpunkten und lateralen Bewegungen, wenn von Sophos verwaltete Endpunkte versuchen, mit bösartigen Servern zu kommunizieren.
Zusätzlich zur Konfiguration der Bedrohungsfeed-Module müssen Sie die folgenden Einstellungen konfigurieren:
- Sie müssen die erforderlichen Firewall-Module konfigurieren. Informationen zu den erforderlichen Konfigurationen finden Sie unter Firewall-Konfigurationen für Bedrohungs-Feeds.
- Die Konfiguration von Synchronized Security ist für Bedrohungsfeeds nicht obligatorisch. Wir empfehlen jedoch die Konfiguration dieser Funktion.
-
Sehen Sie sich die zusätzlichen Konfigurationen an, die die folgenden Bedrohungsfeed-Module benötigen:
- MDR-Bedrohungsfeeds finden Sie unter MDR-Bedrohungs-Feeds.
Firewall-Module
Die folgenden Abschnitte zeigen die Module, die es der Firewall ermöglichen, IoCs zu identifizieren:
IP-Adressen als IoCs
Verkehrsart | Modul |
---|---|
Weitergeleiteter Verkehr | Firewall (Firewall-Regeln) |
Domänen und URLs als IoCs
Verkehrsart | Modul |
---|---|
DNS-Anfragen, wenn die Firewall als DNS-Server fungiert | DNS |
DNS-Anfragen an andere Server | IPS |
Verschlüsseltes und entschlüsseltes HTTPS | IPS (für DPI-Engine, unter Verwendung von SSL/TLS-Prüfregeln) Web (für Webproxy) |
Synchronisierte Sicherheit
Synchronized Security implementiert Security Heartbeat und Schutz vor lateralen Bewegungen in Ihrem Netzwerk.
Blockiert den Datenverkehr kompromittierter Endpunkte
Wenn Sie Security Heartbeat konfiguriert haben, senden von Sophos verwaltete Endpunkte, die versuchen, mit einem bösartigen Server zu kommunizieren, einen roten Security Heartbeat.
Die Firewall erkennt diese Endpunkte automatisch und blockiert deren Datenverkehr. Außerdem werden die IoC-, Host-, Benutzer- und Prozessinformationen für diese Endpunkte in den Protokollen angezeigt. Siehe Details zur Endpunktbedrohung.
Isoliert kompromittierte Endpunkte
Der Lateral Movement-Schutz isoliert den kompromittierten Endpunkt und verhindert, dass sich Angreifer innerhalb des Netzwerks seitlich bewegen.
Weitere Ressourcen