Sophos Active Threat Response & hướng dẫn tích hợp Third-party threat feeds

Tính năng Active threat response cho phép phản hồi tự động trước các mối đe dọa trong thời gian thực. Về cơ bản, nó là mở rộng Synchronized Security kết hợp với MDR threat feeds, Sophos X-Ops threat feeds, and Third-party threat feeds.

MDR threat feeds: Thuộc nhóm Sophos MDR chia sẻ một cách thông minh về mối đe dọa với tường lửa trong thời gian thực để ứng phó với các mối đe dọa đang hoạt động trên mạng.

Sophos X-Ops threat feeds. Với cơ sở dữ liệu về mối đe dọa do SophosLabs toàn cầu quản lý được cập nhật thường xuyên và đẩy lên tường lửa.

Third-party threat feeds. Cho phép tích hợp thông tin về mối đe dọa của bên thứ ba vào tường lửa để tăng cường khả năng bảo vệ.

Cách hoạt động của Active threat response.

Nếu ATR xác định một mối đe dọa mới đang giao tiếp, điều khiển và kiểm soát máy chủ, nó có thể đẩy thông tin về mối đe dọa đó đến tường lửa từ Sophos Central thông qua threat feed API. Tường lửa sau đó sẽ bắt đầu phối hợp phòng thủ ngay lập tức một cách tự động mà không cần can thiệp thủ công. Bất kỳ máy chủ nào cố gắng liên lạc với mối đe dọa bị chặn sẽ được gắn cờ bằng RED security heartbeat và bị cô lập theo thời gian thực điều này ngăn chặn sự di chuyển ngang của kẻ tấn công trong mạng và cho phép các biện pháp đối phó.

Tuy nhiên, không phải mọi thiết bị trong mạng đều được trang bị Sophos Endpoint và chính những thiết bị không được bảo vệ này thường là mục tiêu của các cuộc tấn công. thì tính năng ATR sẽ bảo vệ mạng của bạn khỏi các mối đe dọa thông qua Sophos Network Detection and Response (NDR) trong Sophos Central. NDR liên tục giám sát lưu lượng mạng và phân tích các gói dữ liệu để tìm những điểm bất thường có thể cho thấy hoạt động đáng ngờ. Điều này cho phép phát hiện các mối đe dọa trước khi chúng có thể gây ra thiệt hại nghiêm trọng.

Hướng dẫn cấu hình Active Threat Response tích hợp với Third-party threat feeds.

Yêu cầu cấu hình third-party threat feed.

Licenses:

Sophos Firewall: Xstream Protection Bundle.

Endpoint Protection: Sophos Intercept X (Synchronized Security).

Firewall cần đăng kí Sophos Central: Firewall management,central report & Synchronized security

Endpoint Protection: Endpoint security & leteral movement protection

Theart feed format: .txt file, 1 loC per line, HTTPS protocal

Hướng dẫn chi tiết tích hợp third-party threat feeds Crowdsec

B1: Truy cập Crowdsec > chọn Blocklists > Integrations

B2: Kết nối Sophos

Lưu lại thông tin kết nối để cấu hình trên Sophos Firewall

B3: Đăng nhập vào Webadmin Sophos Firewall> Active threat response > Third-party threat feeds và click Add

B4: Điền các thông tin cơ bản và thông tin kết nối crowdsec > Save

Click ->Refresh.

B5: Kiểm tra: Vào máy PC đang Green security heartbeat

Truy cập vào Bad ip address trong blocklist crowdsec

PC: RED security heartbeat

Kiểm tra events Sophos Endpoint

Vào lại Webadmin Sophos Fireall bạn sẽ thấy ở bên phải  third-party threat feeds >Blocked

Click vào Blocked > Active threat response -> hiện thông tin chi tiết blocked

kết thúc.

♦ Fanpage: DASS – Sophos Việt Nam