コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=active-threat-response

アクティブな脅威対応

アクティブな脅威対応では、MDR 脅威フィード、Sophos X-Ops 脅威フィード、サードパーティの脅威フィードを利用できます。

  • MDR 脅威フィード

    セキュリティアナリスト (Sophos MDR チームの一員) がファイアウォールにリアルタイムで共有する脅威インテリジェンスです。これにより、ネットワーク上のアクティブな脅威に対応することが可能となります。

    MDR 脅威フィードを設定する

  • Sophos X-Ops 脅威フィード

    SophosLabs が管理するグローバルな脅威データベースであり、定期的に更新されてファイアウォールにプッシュされます。

    Sophos X-Ops 脅威フィードを設定する

  • サードパーティの脅威フィード

    サードパーティの脅威インテリジェンスを統合して、保護をさらに強化できます。

    サードパーティの脅威フィードの設定

イベントの記録の仕組み

脅威フィードは、MDR、Sophos X-Ops、サードパーティの順で適用されます。

3つの脅威フィードに同じ IoC (Indicator of Compromise) が存在し、MDR 脅威フィードが「ログしてドロップ」に設定されている場合、トラフィックがドロップされて MDR にイベントが記録されます。それ以上のチェックは行われません。

アクション」が「ログのみ」または「監視」に設定されている場合、MDR、Sophos X-Ops、サードパーティの脅威フィードに対して個別にイベントが記録されます。

セキュリティハートビート

アクティブな脅威対応では、セキュリティハートビートの状態に基づき Synchronized Security の対応が行われるのと同様の仕組みで、ファイアウォールルールの適用などの自動対応が行われます。

ファイアウォールは、赤いセキュリティハートビートに基づき、侵害された (悪意のあるサーバーと通信しようとしている) 可能性のある管理対象エンドポイントを自動的に識別します。そして、IoC にアクセスしたホスト、ユーザー、プロセスなどの詳細情報を照会します。

さらに、ラテラルムーブメントを防止するため、正常に管理されているすべてのエンドポイントに対して、LAN 上に侵害されたホストがあることを通知し、そのホストからのトラフィックをブロックします。

Synchronized Security は、MDR、Sophos X-Ops、サードパーティの脅威フィードに対応しています。

詳細は、Security Heartbeat の概要を参照してください。

Sophos NDR

IoT (モノのインターネット)、管理対象外のエンドポイント、またはサードパーティのデバイスを使用している場合、アクティブな脅威対応では、Sophos Central の Sophos NDR (Network Detection and Response) を介してネットワークを脅威から保護します。詳細は、Sophos NDR を参照してください。