Häufig gestellte Fragen zur aktiven Bedrohungsreaktion

Sie können keine Bedrohungs-Feed-Konfigurationen importieren oder exportieren, aber Sie können Bedrohungsausschlüsse importieren und exportieren.

Sie können MDR-Bedrohungsfeed-Einstellungen nicht aus Sophos Central importieren mit Vorhandene Konfiguration importieren in der Erstkonfiguration einer neuen Firewall-Gruppe.

Der Feed kann eine beliebige Anzahl von IoCs haben. Der für die Feeds verfügbare Speicherplatz hängt jedoch vom Appliance-Modell ab. Weitere Informationen finden Sie unter Speicherlimit für Bedrohungs-Feeds von Drittanbietern.

Die Konfigurationen der Bedrohungsfeeds von Drittanbietern werden wiederhergestellt, die zugehörigen Listen jedoch nicht. Nachdem die Firewall das Backup wiederhergestellt hat, beginnt sie jedoch sofort mit der Abfrage der Quelle nach den neuesten Feeds und führt die konfigurierte Aktion aus.

Sie können jeden Drittanbieter-Feed integrieren, sofern dieser die Dateianforderungen erfüllt. Wir haben die folgenden Bedrohungs-Feeds von Drittanbietern getestet:

• Cisco Talos

• GreyNoise Intelligence

  • Weitere Informationen finden Sie unter Firewall-Blockierung mit GreyNoise-Trends.

• CrowdSec

• Missbrauch.ch / URLhaus
• OSINT (Open-Source-Intelligence) / DigitalSide
• GENES-Score
• Gebühren-Tracker
• Tor
• Neue Bedrohungen

IPv4-Adressen

• https://rules.emergingthreats.net/blockrules/compromised-ips.txt
• https://check.torproject.org/torbulkexitlist

URLs

• https://osint.digitalside.it/Threat-Intel/lists/latesturls.txt
• https://urlhaus.abuse.ch/downloads/text/

Domänen

• https://raw.githubusercontent.com/disposable-email-domains/disposable-email-domains/master/disposable_email_blocklist.conf
• https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt