Guide Sophos Firewall

Utilisez ce guide pour ajouter le flux Cybora a Sophos Firewall a l’aide de Active Threat Response et des Third-party threat feeds.

Prerequis

• Sophos Firewall 21.0 ou version ulterieure.
• Xstream Protection bundle, que Sophos indique comme licence requise pour les Third-party threat feeds.
• Pour les flux Domain et URL, assurez-vous que les reglages necessaires sont en place, y compris la regle de pare-feu appropriee, Application Classification ou IPS Policy, ainsi que HTTPS Decryption / SSL/TLS Inspection si necessaire.
• Nous recommandons egalement d’activer Active Threat Response Logging pour faciliter la validation et le depannage.

Etapes

1. Allez dans Protect > Active threat response > Third-party threat feeds.
2. Ajoutez un nouveau Third-party threat feed.
3. Saisissez un nom et ajoutez l’URL de votre flux Cybora.
4. Selectionnez le type d’indicateur approprie, par exemple IPv4 address, Domain ou URL.
5. Choisissez l’action pour le trafic correspondant. Vous pouvez commencer en mode monitoring si vous voulez valider le flux avant de l’appliquer. Cependant, nous recommandons le mode blocking des le depart afin que les IP, domaines ou URL malveillants soient bloques activement.
6. Definissez l’intervalle de polling exactement selon votre plan Cybora. Il est important de ne pas interroger le flux plus souvent que votre plan ne l’autorise. Une seule requete est permise dans l’intervalle autorise. Des interrogations trop frequentes peuvent entrainer le blocage du flux.
7. Enregistrez le flux et assignez-le a la policy ou a l’ensemble de regles approprie.

Note de version

Sur Sophos Firewall 21.x, Active Threat Response ne fait pas correspondre l’adresse IP source pour certains types de trafic entrant, y compris le trafic DNAT et WAF.

A partir de Sophos Firewall 22.0, Sophos documente la correspondance de l’adresse IP source pour le trafic entrant redirige tel que DNAT et WAF. Cela ameliore la couverture du flux pour ces scenarios.

Liens utiles

• Third-party threat feeds
• Licenses for threat feed modules
• Firewall configurations for threat feeds
• Active threat response in Sophos Firewall 22.0

Validation

Confirmez que le flux se synchronise correctement et que des correspondances apparaissent dans les journaux Active Threat Response. Si vous utilisez des flux Domain ou URL via HTTPS, verifiez aussi que la decryption et les reglages requis de regle sont correctement configures afin que le pare-feu puisse identifier le trafic comme prevu.