Guida Sophos Firewall

Utilizza questa guida per aggiungere il feed Cybora a Sophos Firewall tramite Active Threat Response e Third-party threat feeds.

Requisiti

• Sophos Firewall 21.0 o successivo.
• Xstream Protection bundle, che Sophos indica come licenza necessaria per i Third-party threat feeds.
• Per i feed Domain e URL, assicurati che siano presenti le impostazioni richieste, inclusa la firewall rule corretta, Application Classification o IPS Policy, oltre a HTTPS Decryption / SSL/TLS Inspection quando necessario.
• Consigliamo inoltre di abilitare Active Threat Response Logging per una validazione e un troubleshooting piu semplici.

Passaggi

1. Vai su Protect > Active threat response > Third-party threat feeds.
2. Aggiungi un nuovo Third-party threat feed.
3. Inserisci un nome e aggiungi la URL del tuo feed Cybora.
4. Seleziona il tipo di indicatore corretto, ad esempio IPv4 address, Domain o URL.
5. Scegli l’azione per il traffico corrispondente. Puoi iniziare con monitoring se vuoi validare il feed prima di applicarlo. Tuttavia consigliamo blocking fin dall’inizio, in modo che IP, domini o URL malevoli vengano bloccati attivamente.
6. Imposta l’intervallo di polling in modo preciso in base al tuo piano Cybora. E importante non interrogare il feed piu spesso di quanto il tuo piano consenta. E consentita una sola richiesta nell’intervallo permesso. Un polling eccessivo puo causare il blocco del feed.
7. Salva il feed e assegnalo alla policy o al set di regole pertinente.

Nota di versione

In Sophos Firewall 21.x, Active Threat Response non esegue il match della source IP per alcuni tipi di traffico in ingresso, incluso il traffico DNAT e WAF.

A partire da Sophos Firewall 22.0, Sophos documenta il source IP matching per l’inbound forwarded traffic come DNAT e WAF. Questo migliora la copertura del feed per questi scenari.

Ulteriori letture

• Third-party threat feeds
• Licenses for threat feed modules
• Firewall configurations for threat feeds
• Active threat response in Sophos Firewall 22.0

Verifica

Conferma che il feed si sincronizzi correttamente e che le corrispondenze appaiano nei log di Active Threat Response. Se utilizzi feed Domain o URL via HTTPS, verifica anche che la decryption e le impostazioni richieste della rule siano configurate correttamente, in modo che il firewall possa identificare il traffico come previsto.