Guia de Sophos Firewall

Utilice esta guia para agregar el feed de Cybora a Sophos Firewall mediante Active Threat Response y Third-party threat feeds.

Requisitos

• Sophos Firewall 21.0 o superior.
• Xstream Protection bundle, que Sophos indica como la licencia requerida para Third-party threat feeds.
• Para feeds de Domain y URL, asegurese de que esten configurados los ajustes necesarios, incluida la regla de firewall correspondiente, Application Classification o IPS Policy, asi como HTTPS Decryption / SSL/TLS Inspection cuando sea necesario.
• Tambien recomendamos habilitar Active Threat Response Logging para facilitar la validacion y la resolucion de problemas.

Pasos

1. Vaya a Protect > Active threat response > Third-party threat feeds.
2. Agregue un nuevo Third-party threat feed.
3. Introduzca un nombre y agregue la URL de su feed de Cybora.
4. Seleccione el tipo de indicador correcto, como IPv4 address, Domain o URL.
5. Elija la accion para el trafico coincidente. Puede comenzar con monitoring si quiere validar el feed antes de aplicarlo. Sin embargo, recomendamos usar blocking desde el inicio para que las IP, dominios o URL maliciosos se bloqueen de forma activa.
6. Configure el intervalo de polling exactamente segun su plan de Cybora. Es importante no consultar el feed con mas frecuencia de la permitida por su plan. Solo se permite una solicitud dentro del intervalo autorizado. Un polling excesivo puede hacer que el feed sea bloqueado.
7. Guarde el feed y asignelo a la policy o al conjunto de reglas correspondiente.

Nota de version

En Sophos Firewall 21.x, Active Threat Response no hace match con la source IP para algunos tipos de trafico entrante, incluido el trafico DNAT y WAF.

A partir de Sophos Firewall 22.0, Sophos documenta el source IP matching para inbound forwarded traffic como DNAT y WAF. Esto mejora la cobertura del feed para estos escenarios.

Lecturas adicionales

• Third-party threat feeds
• Licenses for threat feed modules
• Firewall configurations for threat feeds
• Active threat response in Sophos Firewall 22.0

Validacion

Confirme que el feed se sincroniza correctamente y que aparecen coincidencias en los registros de Active Threat Response. Si utiliza feeds de Domain o URL mediante HTTPS, verifique tambien que la decryption y la configuracion requerida de la regla esten correctas para que el firewall pueda identificar el trafico como se espera.