Über NDR Essentials

NDR Essentials ist eine cloudbasierte NDR-Lösung, die sich nahtlos in Ihre Firewall integriert. Sie nutzt fortschrittliches maschinelles Lernen, um Bedrohungen in Echtzeit zu erkennen, ohne die Leistung Ihrer Firewall zu beeinträchtigen. Dies bietet eine zusätzliche Sicherheitsebene neben dem bestehenden Firewall-Schutz.

So funktioniert NDR Essentials

Die Sophos Firewall erfasst Metadaten Ihres TLS-verschlüsselten Datenverkehrs und Ihrer DNS-Anfragen und sendet diese Informationen an den NDR Essentials-Dienst in der Sophos Cloud. Dort werden die Daten mithilfe mehrerer KI-Engines analysiert, um Bedrohungen zu erkennen.

Dadurch kann NDR Essentials schädliche verschlüsselte Datenpakete identifizieren, ohne eine vollständige TLS-Entschlüsselung durchführen zu müssen. Es kann außerdem neue und ungewöhnliche, von Algorithmen generierte Domainnamen erkennen, was häufig auf kompromittierte Systeme in Ihrem Netzwerk hinweist.

Die Metadatenextraktion erfolgt durch eine schlanke Engine, die in die FastPath-Architektur Ihrer Sophos XGS-Firewall integriert ist. Dadurch wird sichergestellt, dass die NDR Essentials-Analyse ohne Leistungseinbußen Ihrer Firewall durchgeführt werden kann.

Sophos NDR Essentials bietet Risikobewertungen für Erkennungen, von sechs (niedrigstes Risiko) bis zehn (höchstes Risiko). Sie können den Schwellenwert für die Auslösung von Warnmeldungen an Ihre spezifische Umgebung anpassen. Die empfohlene Standardeinstellung ist: Hohes Risiko (Punktzahl 9 und 10) – Empfohlen.

Die Firewall protokolliert Indikatoren für eine Kompromittierung (IoC) ab einem Wert von 6. Saubere oder falsch positive IoCs liegen in der Regel unter einem Wert von 6, daher werden diese von NDR Essentials nicht protokolliert.

Die Firewall sendet die erste Anfrage zur Analyse an NDR Essentials in der Cloud. Nachdem NDR Essentials das Ziel als IoC identifiziert hat, fügt die Firewall es ihrem Bedrohungsfeed hinzu. Sie protokolliert nachfolgende Anfragen im Zusammenhang mit diesen IoCs und geht dabei wie folgt vor:

• Erzeugt Protokolle
• Sendet E-Mail-Benachrichtigungen
• Erstellt lokale und Sophos Central-Berichte (Zentrale Firewall-Berichterstattung)

Bedrohungsprotokolle anzeigen

Um die erweiterten Protokolle der Bedrohungsabwehr anzuzeigen, klicken Sie hier. Protokollanzeige und auswählen Reaktion auf aktive Bedrohungen.

Das folgende Beispiel zeigt eine von NDR Essentials erkannte und protokollierte Bedrohung.

Um weitere Details anzuzeigen, klicken Sie auf die Detailansicht.

Jeder NDR-Protokolleintrag enthält eine Bedrohungsbewertung, die den Schweregrad der erkannten Bedrohung angibt. Anhand dieser Bewertungen können Sie entscheiden, ob Sie den Mindestschwellenwert für die Bedrohungsbewertung zur Erkennung und Protokollierung anpassen sollten. Beispielsweise könnten Sie sich entscheiden, sich nur auf Ereignisse mit hohem Risiko zu konzentrieren.

Zeit zu leben

Jedem IoC ist eine Gültigkeitsdauer (Time To Live, TTL) zugeordnet. Die Firewall führt täglich einen Prozess aus, um IoC-Einträge mit abgelaufener Gültigkeitsdauer zu bereinigen.

Die Anzahl der IoCs wird im NDR-Übersichts-Widget angezeigt. Siehe ZusammenfassungDie Zahl wird täglich anhand der abgelaufenen TTLs aktualisiert. Abgelaufene IoCs werden entfernt.