Sophos Firewall v21 ajoute la prise en charge des flux de renseignements sur les menaces tiers pour la réponse active aux menaces (Active Threat Response).
La réponse active aux menaces (Active Threat Response) a été lancée pour la première fois dans la v20, mettant en œuvre un nouveau framework extensible au niveau du flux de renseignements sur les menaces dans Sophos Firewall pour répondre automatiquement aux menaces actives. La prise en charge initiale concernait les flux dynamiques de renseignements sur les menaces de Sophos X-Ops et Sophos MDR, permettant ainsi au pare-feu de répondre automatiquement en bloquant l’accès à toute menace publiée via ce framework.
Bien qu’il s’agisse là du besoin essentiel de la plupart des clients, il existe néanmoins des régions en particulier et certains marchés verticaux où des flux de renseignements sur les menaces personnalisés et spécifiques sont privilégiés ou requis. Notre communauté de partenaires, nos fournisseurs SoC et de nombreux clients ont également manifesté leur intérêt pour une capacité extensible en matière de flux de renseignements sur les menaces afin de prendre en charge les solutions et services de détection et de réponse aux menaces, existants ou nouveaux.
Pour permettre ces cas d’usage, Sophos Firewall v21 étend le framework de flux de renseignements sur les menaces pour prendre en charge les flux de menaces tiers. Désormais, vous pouvez facilement ajouter des flux de menaces verticaux ou personnalisés supplémentaires au pare-feu, qui surveillera et répondra de la même manière automatique, bloquant ainsi toute activité associée, au niveau de tous les moteurs de sécurité (IPS, DNS, Web et AV) et ce sans règle de pare-feu supplémentaire.
Les flux de renseignements sur les menaces tiers et la réponse active aux menaces (Active Threat Response) déclenchent également la même réponse au niveau de la sécurité synchronisée (Synchronized Security) que toute autre condition de type Security Heartbeat ‘rouge’. Votre produit Sophos Firewall appliquera toutes les règles de pare-feu contenant des conditions Heartbeat ‘rouge’ et le pare-feu coordonnera également la protection contre les mouvements latéraux (Lateral Movement Protection) avec vos solutions Sophos Endpoint, ce qui informera tous les systèmes endpoint gérés sains qu’il existe un hôte compromis sur le réseau local afin qu’ils puissent bloquer le trafic provenant de celui-ci.
Regardez la courte vidéo ci-dessous pour une démonstration complète et découvrir :
- Comment configurer des flux de renseignements sur les menaces tiers.
- Comment fonctionnent la réponse active aux menaces (Active Threat Response) et la protection contre les mouvements latéraux (Lateral Movement Protection).
- Comment utiliser les nouveaux tableaux de bord et rapports.
Pour obtenir plus d’informations, consultez la documentation en ligne.
Une large gamme de flux de renseignements sur les menaces spécifiques et verticaux sont pris en charge, notamment ceux fournis par des organismes de sécurité, des consortiums industriels et des sources de renseignements sur les menaces communautaires ou open source. Un bon exemple est Greynoise, qui présente l’intégration de Sophos Firewall sur son site Web.
D’autres exemples pertinents sont listés ci-dessous :
- Cisco Talos
- Abuse.ch / URLhaus
- Hakk Solutions
- OSINT (Open-source Intelligence) / DigitalSide
- CINS Score
- CrowdSec
- EclicticIQ
- Feodo Tracker
- Et bien plus encore !
Commencez à profiter de cette nouvelle fonctionnalité proposée par Sophos Firewall v21 en participant au programme d’accès anticipé (EAP). Inscrivez-vous au programme en cliquant sur le lien présent dans votre messagerie afin de télécharger le package de mise à jour du firmware et ensuite installez-le sur votre produit Sophos Firewall.
Billet inspiré de Sophos Firewall v21: Third-party threat feeds, sur le Blog Sophos.