Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=active-threat-response-related-concepts

Wie andere Module Bedrohungsfeeds implementieren

Spezielle Firewall-Module ermöglichen es der Firewall, Indikatoren für eine Kompromittierung (IoCs) anhand der Art des Datenverkehrs und der im Bedrohungsfeed enthaltenen IoCs zu identifizieren. IoCs sind IP-Adressen, Domains und URLs, die an schädlichen Aktivitäten beteiligt sind.

Synchronized Security bietet Schutz vor Endpunkt- und Lateralbewegungen, wenn von Sophos verwaltete Endpunkte versuchen, mit bösartigen Servern zu kommunizieren.

Zusätzlich zur Konfiguration der Bedrohungsfeed-Module müssen Sie die folgenden Einstellungen vornehmen:

  • Sie müssen die erforderlichen Firewall-Module konfigurieren. Informationen zu den erforderlichen Konfigurationen finden Sie hier: Firewall-Konfigurationen für Bedrohungsfeeds.
  • Die Konfiguration von Synchronized Security ist für Threat Feeds nicht zwingend erforderlich. Wir empfehlen Ihnen jedoch, diese Funktion zu konfigurieren.

  • Siehe die zusätzlichen Konfigurationen, die die folgenden Bedrohungsfeed-Module benötigen:

Firewall-Module

Die folgenden Abschnitte zeigen die Module, die es der Firewall ermöglichen, IoCs zu identifizieren:

IP-Adressen als Indikatoren für Kompromittierung

Verkehrsart Modul
Weitergeleiteter Datenverkehr Firewall (Firewall-Regeln)

Domains und URLs als Indikatoren für Kompromittierung

Verkehrsart Modul
DNS-Anfragen, wenn die Firewall als DNS-Server fungiert DNS
DNS-Anfragen an andere Server IPS
Verschlüsseltes und entschlüsseltes HTTPS

IPS (für die DPI-Engine, unter Verwendung von SSL/TLS-Inspektionsregeln)

Web (für Web-Proxy)

Synchronisierte Sicherheit

Synchronized Security implementiert Security Heartbeat und Schutz vor lateraler Bewegung innerhalb Ihres Netzwerks.

Blockiert den Datenverkehr kompromittierter Endpunkte.

Wenn Sie Security Heartbeat konfiguriert haben, senden von Sophos verwaltete Endpunkte, die versuchen, mit einem bösartigen Server zu kommunizieren, ein rotes Security Heartbeat-Signal.

Die Firewall erkennt diese Endpunkte automatisch und blockiert deren Datenverkehr. Außerdem werden die Indikatoren für eine Kompromittierung (IoC), Host-, Benutzer- und Prozessinformationen für diese Endpunkte in den Protokollen angezeigt. Siehe Details zur Endpoint-Bedrohung.

Isoliert kompromittierte Endpunkte

Der Schutz vor seitlicher Bewegung isoliert den kompromittierten Endpunkt und verhindert so, dass sich Angreifer innerhalb des Netzwerks seitlich bewegen können.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen