Sophos Firewall Anleitung

Verwenden Sie diese Anleitung, um den Cybora-Feed in Sophos Firewall ueber Active Threat Response und Third-party threat feeds hinzuzufuegen.

Voraussetzungen

• Sophos Firewall 21.0 oder neuer.
• Xstream Protection Bundle, das Sophos als erforderliche Lizenz fuer Third-party threat feeds angibt.
• Fuer Domain- und URL-Feeds muessen die erforderlichen Firewall-Einstellungen gesetzt sein, einschliesslich der passenden Firewall-Regel, Application Classification oder IPS Policy sowie HTTPS Decryption / SSL/TLS Inspection, falls noetig.
• Fuer die Validierung und Fehlersuche empfehlen wir ausserdem Active Threat Response Logging.

Schritte

1. Gehen Sie zu Protect > Active threat response > Third-party threat feeds.
2. Fuegen Sie einen neuen Third-party threat feed hinzu.
3. Geben Sie einen Namen ein und fuegen Sie Ihre Cybora-Feed-URL hinzu.
4. Waehlen Sie den passenden Indikator-Typ, zum Beispiel IPv4 address, Domain oder URL.
5. Waehlen Sie die Aktion fuer passenden Traffic. Sie koennen fuer die erste Validierung zunaechst Monitoring verwenden. Wir empfehlen jedoch, direkt Blocking zu nutzen, damit schaedliche IPs, Domains oder URLs aktiv blockiert werden.
6. Stellen Sie das Polling-Intervall exakt auf Ihren Cybora-Plan ein. Fragen Sie den Feed nicht haeufiger ab, als Ihr Plan erlaubt. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulaessig. Zu haeufiges Polling kann dazu fuehren, dass der Feed blockiert wird.
7. Speichern Sie den Feed und weisen Sie ihn der relevanten Policy oder dem passenden Regelwerk zu.

Versionshinweis

Unter Sophos Firewall 21.x gleicht Active Threat Response die Source IP bei bestimmten eingehenden Traffic-Typen, einschliesslich DNAT- und WAF-Traffic, nicht ab.

Ab Sophos Firewall 22.0 dokumentiert Sophos Source-IP-Matching fuer inbound forwarded traffic wie DNAT und WAF. Dadurch verbessert sich die Feed-Abdeckung fuer diese Szenarien.

Weiterfuehrende Links

• Third-party threat feeds
• Licenses for threat feed modules
• Firewall configurations for threat feeds
• Active threat response in Sophos Firewall 22.0

Validierung

Bestaetigen Sie, dass der Feed erfolgreich synchronisiert wird und Treffer in den Active Threat Response Logs erscheinen. Wenn Sie Domain- oder URL-Feeds ueber HTTPS verwenden, pruefen Sie ausserdem, ob Decryption und die benoetigten Rule-Einstellungen korrekt gesetzt sind, damit die Firewall den Traffic wie erwartet identifizieren kann.