Bir FortiGate, FortiClient EMS’den zararlı yazılım tehdit akışlarını çekebilir ve bu da FortiClients tarafından algılanan kötü amaçlı yazılım hashe’lerini alır. AV taraması engelleme veya izleme
eylemleriyle etkinleştirildiğinde zararlı yazılım , karma yazılımı virüsten koruma profilinde kullanılabilir. Bu özellik 7.0.0’da proxy modunda, 7.0.1’de proxy ve akış modunda desteklenir.
Antivirüs profilinde harici bir kötü amaçlı yazılım engelleme listesi ve FortiGuard salgını önleme veritabanı da etkinleştirilmişse, kontrol sırası: AV yerel veritabanı, EMS tehdit akışı, harici zararlı yazılım engelleme listesi, FortiGuard salgını önleme veritabanı. EMS tehdit akışı ve harici zararlı yazılım engelleme listesi aynı karma değeri içeriyorsa, her ikisi de engellenirse EMS enfeksiyonu bildirilecektir.
GUI’deki bir virüsten koruma profilinde EMS tehdit akışı yapılandırmak için:
1. EMS tehdit akışını etkinleştirin:
a. Security Fabric > Fabric Connectors’a gidin ve FortiClient EMS kartına çift tıklatın.
b. EMS Tehdit Akışı’nı etkinleştirin.
c. Diğer ayarları gerektiği gibi yapılandırın.
d. Tamam’a tıklayın.
2. Antivirüs profilini oluşturun
a. Güvenlik profilleri > Antivirüs’e gidin ve yeni oluştura tıklayın.
b. Virüs Salgını Önleme bölümünde, EMS tehdit akışını kullan’ı etkinleştirin.
c. Diğer ayarları gerektiği gibi yapılandırın.
d. Tamam’a tıklayın.
CLI’da bir Antivirüs profilindeki EMS tehdit akışını yapılandırmak için:
1. EMS tehdit akışını etkinleştirin:
config endpoint-control fctems
edit “WIN10-EMS”
set fortinetone-cloud-authentication disable
set server “192.168.20.10”
set https-port 443
set source-ip 0.0.0.0
set pull-sysinfo enable
set pull-vulnerabilities enable
set pull-avatars enable
set pull-tags enable
set pull-malware-hash enable
unset capabilities
set call-timeout 30
set websocket-override disable
next
end
2. Antivirüs profilini oluşturun:
config antivirus profile
edit “av”
config http
set av-scan block
end
config ftp
set av-scan block
end
config imap
set av-scan block
end
config pop3
set av-scan block
end
config smtp
set av-scan block
end
config cifs
set av-scan block
end
set external-blocklist-enable-all enable
set ems-threat-feed enable
next
end
Örnek loglar
# execute log filter category utm-virus
# execute log display
1: date=2021-03-19 time=16:06:46
eventtime=1616195207055607417 tz=”-0700″ logid=”0208008217″ type=”utm” subtype=”virus”
eventtype=”ems-threat-feed” level=”notice” vd=”vd1″ policyid=1 msg=”Detected by EMS threat feed.” action=”monitored” service=”HTTPS”
sessionid=1005 srcip=10.1.100.24 dstip=172.16.200.214 srcport=54674 dstport=443 srcintf=”port2″ srcintfrole=”undefined” dstintf=”port1″
dstintfrole=”undefined” proto=6 direction=”incoming” filename=”creditcardSSN.pdf” quarskip=”Quarantine-disabled” virus=”Email scan”
dtype=”File Hash” filehash=”22466078c2d52dfd5ebbbd6c4207ddec6ac61aa82f960dc54cfbc83b8eb42ed1″ filehashsrc=”test”
url=”https://172.16.200.214/hash/creditcardSSN.pdf” profile=”av” agent=”curl/7.68.0″ analyticssubmit=”false” crscore=10 craction=2
crlevel=”medium”
2: date=2021-03-19 time=16:06:13 eventtime=1616195173832494609 tz=”-0700″ logid=”0208008216″ type=”utm” subtype=”virus”
eventtype=”ems-threat-feed” level=”warning” vd=”vd1″ policyid=1 msg=”Blocked by EMS threat feed.” action=”blocked” service=”HTTPS”
sessionid=898 srcip=10.1.100.24 dstip=172.16.200.214 srcport=54672 dstport=443 srcintf=”port2″ srcintfrole=”undefined” dstintf=”port1″
dstintfrole=”undefined” proto=6 direction=”incoming” filename=”BouncingButton.pdf” quarskip=”Quarantine-disabled” virus=”Email scan”
dtype=”File Hash” filehash=”a601431acd5004c37bf8fd02fccfdacbb54b27c8648d1d41ad14fa3eaf8651d3″ filehashsrc=”test”
url=”https://172.16.200.214/hash/BouncingButton.pdf” profile=”av” agent=”curl/7.68.0″ analyticssubmit=”false” crscore=10 craction=2
crlevel=”medium”