EMS’den Zararlı Yazılım Tehdidi Akışı

Bir FortiGate, FortiClient EMS’den zararlı yazılım tehdit akışlarını çekebilir ve bu da FortiClients tarafından algılanan kötü amaçlı yazılım hashe’lerini alır. AV taraması engelleme veya izleme
eylemleriyle etkinleştirildiğinde zararlı yazılım , karma yazılımı virüsten koruma profilinde kullanılabilir. Bu özellik 7.0.0’da proxy modunda, 7.0.1’de proxy ve akış modunda desteklenir.

Antivirüs profilinde harici bir kötü amaçlı yazılım engelleme listesi ve FortiGuard salgını önleme veritabanı da etkinleştirilmişse, kontrol sırası: AV yerel veritabanı, EMS tehdit akışı, harici zararlı yazılım engelleme listesi, FortiGuard salgını önleme veritabanı. EMS tehdit akışı ve harici zararlı yazılım engelleme listesi aynı karma değeri içeriyorsa, her ikisi de engellenirse EMS enfeksiyonu bildirilecektir.

GUI’deki bir virüsten koruma profilinde EMS tehdit akışı yapılandırmak için:

1. EMS tehdit akışını etkinleştirin:

    a. Security Fabric > Fabric Connectors’a gidin ve FortiClient EMS      kartına çift tıklatın.

    b. EMS Tehdit Akışı’nı etkinleştirin.

    c. Diğer ayarları gerektiği gibi yapılandırın.

EMS’den zararlı yazılım tehdidi akışı

     d. Tamam’a tıklayın.

2. Antivirüs profilini oluşturun

     a. Güvenlik profilleri > Antivirüs’e gidin ve yeni oluştura tıklayın.

     b. Virüs Salgını Önleme bölümünde, EMS tehdit akışını kullan’ı         etkinleştirin.

     c. Diğer ayarları gerektiği gibi yapılandırın.

EMS’den zararlı yazılım tehdidi akışı

     d. Tamam’a tıklayın.

CLI’da bir Antivirüs profilindeki EMS tehdit akışını yapılandırmak için:
1. EMS tehdit akışını etkinleştirin:
config endpoint-control fctems
edit “WIN10-EMS”
set fortinetone-cloud-authentication disable
set server “192.168.20.10”
set https-port 443
set source-ip 0.0.0.0
set pull-sysinfo enable
set pull-vulnerabilities enable
set pull-avatars enable
set pull-tags enable
set pull-malware-hash enable
unset capabilities
set call-timeout 30
set websocket-override disable
next
end
2. Antivirüs profilini oluşturun:
config antivirus profile
edit “av”
config http
set av-scan block
end
config ftp
set av-scan block
end
config imap
set av-scan block
end
config pop3
set av-scan block
end
config smtp
set av-scan block
end
config cifs
set av-scan block
end
set external-blocklist-enable-all enable
set ems-threat-feed enable
next
end

Örnek loglar

# execute log filter category utm-virus

# execute log display

1: date=2021-03-19 time=16:06:46

eventtime=1616195207055607417 tz=”-0700″ logid=”0208008217″ type=”utm” subtype=”virus”
eventtype=”ems-threat-feed” level=”notice” vd=”vd1″ policyid=1 msg=”Detected by EMS threat feed.” action=”monitored” service=”HTTPS”

sessionid=1005 srcip=10.1.100.24 dstip=172.16.200.214 srcport=54674 dstport=443 srcintf=”port2″ srcintfrole=”undefined” dstintf=”port1″

dstintfrole=”undefined” proto=6 direction=”incoming” filename=”creditcardSSN.pdf” quarskip=”Quarantine-disabled” virus=”Email scan”

dtype=”File Hash” filehash=”22466078c2d52dfd5ebbbd6c4207ddec6ac61aa82f960dc54cfbc83b8eb42ed1″ filehashsrc=”test”

url=”https://172.16.200.214/hash/creditcardSSN.pdf” profile=”av” agent=”curl/7.68.0″ analyticssubmit=”false” crscore=10 craction=2

crlevel=”medium”

2: date=2021-03-19 time=16:06:13 eventtime=1616195173832494609 tz=”-0700″ logid=”0208008216″ type=”utm” subtype=”virus”

eventtype=”ems-threat-feed” level=”warning” vd=”vd1″ policyid=1 msg=”Blocked by EMS threat feed.” action=”blocked” service=”HTTPS”

sessionid=898 srcip=10.1.100.24 dstip=172.16.200.214 srcport=54672 dstport=443 srcintf=”port2″ srcintfrole=”undefined” dstintf=”port1″

dstintfrole=”undefined” proto=6 direction=”incoming” filename=”BouncingButton.pdf” quarskip=”Quarantine-disabled” virus=”Email scan”

dtype=”File Hash” filehash=”a601431acd5004c37bf8fd02fccfdacbb54b27c8648d1d41ad14fa3eaf8651d3″ filehashsrc=”test”

url=”https://172.16.200.214/hash/BouncingButton.pdf” profile=”av” agent=”curl/7.68.0″ analyticssubmit=”false” crscore=10 craction=2

crlevel=”medium”

İlginizi Çekebilecek Makaleler​

AP İşletme Sıcaklığı

Bu 7.0.1 geliştirmesi, wireless denetleyicinin yerleşik sıcaklık sensörlerine sahip FortiAP-F modellerinden sıcaklık değerleri almasına olanak tanır. FortiOS’ta aşağıdaki komutlar mevcuttur: Aşağıdaki komut FortiAP de geçerli:

Devamı »
TLS loglarını iyileştirin

Sunucu sertifikası bilgilerini ve TLS anlaşmalarını loglara kaydetmek için SSL/SSH profiline yeni seçenekler eklendi. Bu seçenekler etkinleştirildiğinde UTM SSL loglarına yeni alanlar eklenir. config firewall

Devamı »