Hướng dẫn tích hợp Data Feeds của Kaspersky Threat Intelligence vào Sophos Firewall
01/10/2025 10:20 211 lần Chuyên mục: Bài viết kỹ thuật
Nội dung bài viết:
- Tích hợp Data Feeds vào Sophos Firewall, tính năng Third-party threat feed của Sophos.
- Dùng PC nội bộ để test sau khi tích hợp thành công.
Yêu cầu license:
- Sophos Firewall: tính năng Third Party Threat Feeds chỉ có thể dùng khi bạn mua license Xstream Bundle, không thể mua lẻ license Third Party Threat Feeds.
- Kaspersky Threat Intelligence: phải có license dành riêng cho Network Security Data Feeds.
1. Tích hợp Data Feeds vào Sophos Firewall
Login vào firewall > Active threat response > Third-party threat feeds
Nhấn Add
Điền các thông tin Data Feeds của Kaspersky TI
- Name: điền tên.
-
Actions: tùy chọn Monitor hoặc Block. (Block sẽ thực hiện chặn theo danh sách từ trên xuống)
-
Indicator type: có 3 loại là IPv4, Domain, URL. (chọn theo loại data feeds bạn thêm, nếu có nhiều loại thì Add riêng)
- External URL: link để truy cập file lấy dữ liệu. Sophos yêu cầu file định dạng plain-text, và mỗi indicator phải trên 1 dòng. (Data feeds của Kaspersky sẽ có 4 loại dựa theo Data Feeds API)
|
Name |
Type |
Description |
URI |
Update interval |
|
Dangerous IPs |
IP |
List of dangerous IP addresses |
20 minutes |
|
|
Malicious domains |
Domain |
List of malicious domains |
20 minutes |
|
|
Phishing domains |
Domain |
List of phishing domains |
20 minutes |
|
|
Botnet C&C domains |
Domain |
List of botnet C&C domains |
60 minutes |
- Authorization: phải chọn Basic Authentication. (Vì trên Sophos Firewall password chỉ được 64 ký tự, nên API token bình thường không dùng được, bạn phải liên hệ intelligence@kaspersky.com để có thể được cấp username/password của Data Feeds API dành riêng cho Sophos Firewall.)
- Validate server certificate: tích chọn nếu bạn muốn xác thực certificate của server. (Nếu server dùng private certificate thì upload certificate vào firewall.Vì server của Kaspersky TI dùng public certificate nên không cần upload)
- Sau khi điền xong thông tin, nhấn Test connection để kiểm tra.
- Nếu thành công thì Save, và chờ Sophos lấy dữ liệu.
- Các Data Feeds này sẽ được Sophos Firewall tự động Sync hằng ngày.
- Bạn nên lưu ý Storage quota, đừng để In use bị full.
- Có thể check các indicator đã được thêm từ Data Feeds trên.
2. Test trên PC nội bộ
- Truy cập vào 1 địa chỉ IP bất kỳ của data feeds.
- Trên Dashboard của Sophos sẽ có thông báo.
- Check log
- Cột Log subtype: Drop. Vậy là Sophos đã chặn user truy cập.
- Cột Threat hiện nguồn Data Feeds đã thêm ở trên.
3. Tham khảo
Hướng dẫn ATP & Third party threat feeds: Sophos Active Threat Response & hướng dẫn tích hợp Third-party threat feeds – DASS
Hướng dẫn cấu hình web proxy: Hướng dẫn cấu hình Sophos Firewall làm Web Proxy – DASS
CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS
♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Ông Lãnh, TP. HCM
♦ 028 2055 2868
♦ Hà Nội: Số 29, Lê Đại Hành, Phường Hai Bà Trưng, Hà Nội
♦ 024 3555 3030
♦ Email: info@dass.vn
♦ Fanpage: DASS – Sophos Việt Nam
