** 本記事は、Sophos Firewall v21: Third-party threat feeds の翻訳です。最新の情報は英語記事をご覧ください。**
Sophos Firewall v21では、Active Threat Response にサードパーティの脅威フィードのサポートが追加されました。
Active Threat Response は v20 で初めて導入されました。Sophos Firewall に新たな拡張可能な脅威フィードフレームワークが実装されたことで、アクティブな脅威への自動対応が可能になりました。当初は、Sophos X-Ops からの動的な脅威インテリジェンスフィードと Sophos MDR がサポートされており、このフレームワークを通じて公開されたすべての脅威へのアクセスをブロックすることで、ファイアウォールが自動的に対応できるようになりました。
ほとんどのお客様にはこれだけで十分ですが、カスタムの脅威フィードが推奨される、または必須となる地域や業種もあります。また、パートナーコミュニティ、SoC プロバイダー、そして多くのお客様から、既存の、または新しい脅威検出・対応ソリューションやサービスをサポートする拡張可能な脅威フィード機能への関心が寄せられています。
Sophos Firewall v21 ではそうしたユースケースを実現できるよう、サードパーティの脅威フィードをサポートする脅威フィードフレームワークが拡張されました。これにより、業種別やカスタムの脅威フィードを簡単にファイアウォールに追加し、すべてのセキュリティエンジン (IPS、DNS、Web、AV) で自動的に同じ方法で監視・対応し、関連するすべての活動をブロックできるようになりました。しかも、ファイアウォールにルールを追加する必要もありません。
サードパーティの脅威フィードと Active Threat Response もまた、他のセキュリティハートビートが赤色になっている状態と同じ Synchronized Security の対応をトリガーします。Sophos Firewall は、ハートビートが赤色の状態を含むすべてのファイアウォールルールを適用するとともに、Sophos Endpoint と連携してラテラルムーブメント対策も行います。これにより、LAN 上のホストが感染していることが管理対象のエンドポイントに通知されるので、感染していないエンドポイントは当該デバイスからのトラフィックをブロックすることができます。
以下の短い動画では、デモをご覧いただけます。
- サードパーティの脅威フィードの設定方法
- Active Threat Response とラテラルムーブメント対策の仕組み
- 新しいダッシュボードとレポート機能の使用方法
詳細は、オンラインドキュメントを参照してください。
セキュリティ企業、業界コンソーシアム、コミュニティベース/オープンソースの脅威インテリジェンスソースなど、さまざまな専門的かつ業界に特化して脅威フィードがサポートされています。その一つが、自社サイトで Sophos Firewall との統合を紹介している Greynoise です。
その他の例として、以下が挙げられます。
- Cisco Talos
- Abuse.ch / URLhaus
- Hakk Solutions
- OSINT (オープンソースインテリジェンス) / DigitalSide
- CINS Score
- CrowdSec
- EclicticIQ
- Feodo Tracker
- その他多数
アーリーアクセスプログラムにご参加いただくと、Sophos Firewall v21 のこの優れた新機能をご利用いただけます。アーリーアクセスプログラムに登録し、メールに記載されているリンクをクリックしてファームウェアのアップデートパッケージをダウンロードし、Sophos Firewall にインストールするだけです。