OzzTech - EMS’den Zararlı Yazılım Tehdidi Akışı

EMS’den Zararlı Yazılım Tehdidi Akışı

Bir FortiGate, FortiClient EMS'den zararlı yazılım tehdit akışlarını çekebilir ve bu da FortiClients tarafından algılanan kötü amaçlı yazılım hashe'lerini alır. AV taraması engelleme veya izleme eylemleriyle etkinleştirildiğinde zararlı yazılım , karma yazılımı virüsten koruma profilinde kullanılabilir. Bu özellik 7.0.0'da proxy modunda, 7.0.1'de proxy ve akış modunda desteklenir.

Antivirüs profilinde harici bir kötü amaçlı yazılım engelleme listesi ve FortiGuard salgını önleme veritabanı da etkinleştirilmişse, kontrol sırası: AV yerel veritabanı, EMS tehdit akışı, harici zararlı yazılım engelleme listesi, FortiGuard salgını önleme veritabanı. EMS tehdit akışı ve harici zararlı yazılım engelleme listesi aynı karma değeri içeriyorsa, her ikisi de engellenirse EMS enfeksiyonu bildirilecektir.

GUI'deki bir virüsten koruma profilinde EMS tehdit akışı yapılandırmak için:

1. EMS tehdit akışını etkinleştirin:

    a. Security Fabric > Fabric Connectors'a gidin ve FortiClient EMS      kartına çift tıklatın.

    b. EMS Tehdit Akışı'nı etkinleştirin.

    c. Diğer ayarları gerektiği gibi yapılandırın.

EMS’den zararlı yazılım tehdidi akışı

     d. Tamam'a tıklayın.

2. Antivirüs profilini oluşturun

     a. Güvenlik profilleri > Antivirüs’e gidin ve yeni oluştura tıklayın.

     b. Virüs Salgını Önleme bölümünde, EMS tehdit akışını kullan'ı         etkinleştirin.

     c. Diğer ayarları gerektiği gibi yapılandırın.

EMS’den zararlı yazılım tehdidi akışı

     d. Tamam’a tıklayın.

CLI'da bir Antivirüs profilindeki EMS tehdit akışını yapılandırmak için: 1. EMS tehdit akışını etkinleştirin: config endpoint-control fctems edit "WIN10-EMS" set fortinetone-cloud-authentication disable set server "192.168.20.10" set https-port 443 set source-ip 0.0.0.0 set pull-sysinfo enable set pull-vulnerabilities enable set pull-avatars enable set pull-tags enable set pull-malware-hash enable unset capabilities set call-timeout 30 set websocket-override disable next end 2. Antivirüs profilini oluşturun: config antivirus profile edit "av" config http set av-scan block end config ftp set av-scan block end config imap set av-scan block end config pop3 set av-scan block end config smtp set av-scan block end config cifs set av-scan block end set external-blocklist-enable-all enable set ems-threat-feed enable next end

Örnek loglar

# execute log filter category utm-virus

# execute log display

1: date=2021-03-19 time=16:06:46

eventtime=1616195207055607417 tz="-0700" logid="0208008217" type="utm" subtype="virus" eventtype="ems-threat-feed" level="notice" vd="vd1" policyid=1 msg="Detected by EMS threat feed." action="monitored" service="HTTPS"

sessionid=1005 srcip=10.1.100.24 dstip=172.16.200.214 srcport=54674 dstport=443 srcintf="port2" srcintfrole="undefined" dstintf="port1"

dstintfrole="undefined" proto=6 direction="incoming" filename="creditcardSSN.pdf" quarskip="Quarantine-disabled" virus="Email scan"

dtype="File Hash" filehash="22466078c2d52dfd5ebbbd6c4207ddec6ac61aa82f960dc54cfbc83b8eb42ed1" filehashsrc="test"

url="https://172.16.200.214/hash/creditcardSSN.pdf" profile="av" agent="curl/7.68.0" analyticssubmit="false" crscore=10 craction=2

crlevel="medium"

2: date=2021-03-19 time=16:06:13 eventtime=1616195173832494609 tz="-0700" logid="0208008216" type="utm" subtype="virus"

eventtype="ems-threat-feed" level="warning" vd="vd1" policyid=1 msg="Blocked by EMS threat feed." action="blocked" service="HTTPS"

sessionid=898 srcip=10.1.100.24 dstip=172.16.200.214 srcport=54672 dstport=443 srcintf="port2" srcintfrole="undefined" dstintf="port1"

dstintfrole="undefined" proto=6 direction="incoming" filename="BouncingButton.pdf" quarskip="Quarantine-disabled" virus="Email scan"

dtype="File Hash" filehash="a601431acd5004c37bf8fd02fccfdacbb54b27c8648d1d41ad14fa3eaf8651d3" filehashsrc="test"

url="https://172.16.200.214/hash/BouncingButton.pdf" profile="av" agent="curl/7.68.0" analyticssubmit="false" crscore=10 craction=2

crlevel="medium"

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.