NDR Essentials
Network Detection and Response (NDR) ist eine Kategorie von Netzwerksicherheitsprodukten, die abnormale Verkehrsmuster erkennen und so aktive Angreifer in Ihrem Netzwerk identifizieren. Selbst erfahrene Angreifer müssen Ihr Netzwerk durchqueren oder außerhalb kommunizieren, um einen Angriff durchzuführen. NDR nutzt Sensoren, um Ihren Netzwerkverkehr zu überwachen und zu analysieren und so verdächtige Aktivitäten zu identifizieren.
NDR Essentials ist eine Cloud-basierte NDR-Lösung, die sich direkt in Ihre Firewall integriert. Sie nutzt fortschrittliches maschinelles Lernen, um Bedrohungen in Echtzeit zu erkennen, ohne die Leistung Ihrer Firewall zu beeinträchtigen. Dies bietet eine zusätzliche Sicherheitsebene zusätzlich zu Ihrem bestehenden Firewall-Schutz.
So funktioniert NDR Essentials
Die Sophos Firewall erfasst Metadaten aus Ihrem TLS-verschlüsselten Datenverkehr und Ihren DNS-Abfragen und sendet diese Informationen an den NDR Essentials-Dienst in der Sophos Cloud. Dort werden die Daten mithilfe mehrerer KI-Engines analysiert, um Bedrohungen zu erkennen.
Dadurch kann NDR Essentials schädliche verschlüsselte Nutzdaten identifizieren, ohne eine vollständige TLS-Entschlüsselung durchführen zu müssen. Es erkennt auch neue und ungewöhnliche, von Algorithmen generierte Domänennamen, die oft auf kompromittierte Systeme in Ihrem Netzwerk hinweisen.
Die Metadatenextraktion erfolgt durch eine schlanke Engine, die in die FastPath-Architektur Ihrer Sophos XGS-Firewall integriert ist. Dadurch wird sichergestellt, dass die NDR Essentials-Analyse ohne Leistungseinbußen Ihrer Firewall durchgeführt werden kann.
Sophos NDR Essentials bietet Risikobewertungen für Erkennungen, die von sechs (niedrigstes Risiko) bis zehn (höchstes Risiko) reichen. Sie können den Schwellenwert für die Risikobewertung, ab dem Warnmeldungen ausgelöst werden, an Ihre spezifische Umgebung anpassen. Die empfohlene Standardeinstellung ist Hohes Risiko (Score 9 und 10) – Empfohlen.
Die Firewall speichert Indikatoren für eine Kompromittierung (IoC) ab einem Wert von 6. Saubere IoCs oder falsch-positive Ergebnisse liegen in der Regel unter einem Wert von 6, daher speichert NDR Essentials diese IoCs nicht.
Die Firewall sendet die erste Anfrage zur Analyse an NDR Essentials in der Cloud. Nachdem NDR Essentials das Ziel als IoC identifiziert hat, fügt die Firewall es ihrem Bedrohungsfeed hinzu. Sie protokolliert nachfolgende Anfragen im Zusammenhang mit diesen IoCs und führt folgende Schritte aus:
- Generiert Protokolle
- Sendet E-Mail-Benachrichtigungen
- Erstellt lokale und Sophos Central-Berichte (Central Firewall Reporting)
Lebenszeit
Jedem IoC ist eine Gültigkeitsdauer (Time To Live, TTL) zugeordnet. Die Firewall führt täglich einen Job aus, um IoC-Einträge mit abgelaufener TTL zu bereinigen.
Sie können die Anzahl der IoCs im NDR-Zusammenfassungs-Widget sehen. Siehe ZusammenfassungDie Nummer wird täglich basierend auf den abgelaufenen TTLs aktualisiert. Abgelaufene IoCs werden entfernt.
Notiz
Wenn die Firewall einen Bedrohungswert für einen IoC empfängt und anschließend einen niedrigeren Wert erhält, bleibt der Bedrohungswert unverändert, die TTL wird jedoch aktualisiert. Wenn die Firewall einen Bedrohungswert für einen IoC empfängt und anschließend einen höheren Wert erhält, wird der Bedrohungswert auf den höheren Wert aktualisiert.
Konfigurieren von NDR Essentials
Informationen zur Konfiguration, Protokollierung und zum Blockieren von IoCs mithilfe von Firewall-Regeln finden Sie unter Konfigurieren von NDR Essentials.
Testerkennungen generieren
Sie können Testerkennungen generieren, um zu überprüfen, ob Sophos NDR richtig eingerichtet ist und funktioniert.
Der Test ist nicht bösartig. Er löst eine Erkennung aus, indem er ein Ereignis mit typischen Angriffsmerkmalen simuliert. Das Ereignis besteht darin, dass ein Client eine Datei von einem Server mit verdächtigen Domänen- und Zertifikatsdetails herunterlädt.
Im folgenden Beispiel zeigen wir Ihnen, wie Sie mithilfe der Windows-Eingabeaufforderung eine Erkennung generieren.
Um eine Testerkennung zu generieren, gehen Sie wie folgt vor:
- Gehe zu Sophos Test.
- Klicken Netzwerksicherheit > Netzwerkerkennung und -reaktion.
- Klicken Datei herunterladen.
- Extrahieren Sie den Dateiinhalt an den gewünschten Speicherort.
- Führen Sie die Eingabeaufforderung als Administrator aus.
-
Gehen Sie in der Eingabeaufforderung zu Ihrem Dateispeicherort und führen Sie den folgenden Befehl aus:
NdrEicarClient.exe -- all
.Notiz
Sie müssen den Befehl auf einem Gerät hinter der Firewall ausführen, wo der Datenverkehr durch die Firewall geleitet wird.
Durch Ausführen der ausführbaren Datei wird die Kommunikation mit einer verdächtigen Domäne mit abgelaufenen Zertifikatsdetails simuliert.
Warten Sie einige Minuten, bis die Erkennung abgeschlossen ist.
-
Führen Sie den Befehl erneut aus.
Die Firewall erkennt die Kommunikation und ordnet sie einer bestimmten Bedrohungskategorie zu. NDR analysiert den Datenfluss, weist eine Bedrohungsbewertung zu und kennzeichnet den IoC. Die Firewall fügt den erkannten IoC der Bedrohungsindikatorliste hinzu.
Wählen Sie Ihre NDR Essentials-Region
Wenn Sie NDR Essentials zum ersten Mal aktivieren, wird eine Verbindung zum regionalen (API-)Endpunkt hergestellt, der die Region mit der niedrigsten Latenz zurückgibt. Dieser Wert ändert sich nicht, wenn Sie NDR Essentials deaktivieren oder die Firewall neu starten.
Um die Region zu ändern, gehen Sie wie folgt vor:
- Schalten Sie in der Web-Admin-Konsole der Firewall NDR Essentials.
- Stellen Sie per SSH und mit der IP-Adresse eine Verbindung zum Backend Ihrer Firewall her.
- Typ
5
Dann3
um auf die erweiterte Shell zuzugreifen. - Typ
cd /content/ndr
, um zum NDR-Ordner zu gelangen. - Typ
vi ndr_info.json
, um die Konfigurationsdatei zu öffnen. - Typ
i
um in den „Einfügemodus“ zu wechseln. -
Suchen Sie die Zeile, die enthält
service_url
und aktualisieren Sie es mit der Region Ihrer Wahl.Wählen Sie eine der folgenden Regionen aus:
- VEREINIGTES KÖNIGREICH:
uk.analysis.sophos.com
- Deutschland:
de.analysis.sophos.com
- UNS:
us.analysis.sophos.com
- Australien:
au.analysis.sophos.com
- Asien-Pazifik:
apac.analysis.sophos.com
- VEREINIGTES KÖNIGREICH:
-
Drücken Sie „Esc“, um den „Einfügemodus“ zu verlassen.
- Typ
:wq
und drücken Sie „Enter“, um die Datei zu speichern und zu schließen.