OzzTech - FortiAI satır içi engelleme ve AV ile entegrasyonu

FortiAI satır içi engelleme ve AV ile entegrasyonu

7.0.1 geliştirmesi, FortiAI'nin proxy inceleme modunda antivirüs profilleriyle kullanılmasına izin verir. (Akış modu şu anda desteklenmemektedir). FortiAI, yüksek riskli dosyaları inceler ve dosya özelliklerinin zararlı yazılımlarla ne kadar yakın olduğuna bağlı olarak güvenlik duvarına bir karar verir. Etkinleştirildiğinde, FortiAI karara göre dosyayı günlüğe kaydedebilir, engelleyebilir, yok sayabilir veya izleyebilir (izin verebilir).

FortiAI satır içi engelleme ve AV ile entegrasyonu

Bu özelliği kullanmak için 1.5.1 veya sonraki bir sürüme sahip lisanslı bir FortiAI cihazı gereklidir.

FortiAI satır içi incelemesini bir AV profiliyle yapılandırmak için:

1.Security Fabric'i etkinleştirin ve arabirimi diğer Security Fabric aygıtlarının katılmasına izin vermek için yapılandırın(FortiOS Yönetim Kılavuzu'nda FortiGate ve aşağı akış FortiGate'leri yapılandırma)

FortiAI satır içi engelleme ve AV ile entegrasyonu

2.FortiAI cihazını yükleyin ve ürünü geçerli bir lisansla etkinleştirin (bkz. Varlık Yönetimi Kılavuzu'nda ürün kaydetme). Ürün kaydedildikten sonra bir lisans dosyası sağlanır.

FortiAI satır içi engelleme ve AV ile entegrasyonu

3. FortiAI'de, Sistem > Fortiguard’a gidin ve önceden eğitilmiş modellerin (motorların) güncel olduğunu doğrulayın. En son FortiAI ANN sürümleri için FortiGuard web sitesine bakın.

FortiAI satır içi engelleme ve AV ile entegrasyonu

4. Security Fabric'e katılmak için FortiAI GUI'de FortiGate'i yapılandırın ve yetkilendirin:

       a) Security Fabric > Fabric Connectors'a gidin ve bağlayıcı kartını çift tıklatın.

      b) Security Fabric'i etkinleştirmek için geçiş düğmesine tıklayın.

      c) FortiGate Kök IP adresini ve FortiAI IP adresini girin.

FortiAI satır içi engelleme ve AV ile entegrasyonu

      d) Tamam'a tıklayın. FortiAI artık yetkili.

FortiAI satır içi engelleme ve AV ile entegrasyonu

5. FortiOS'ta FortiAI'ye yetki:

        a) Security Fabric > Fabric Connectors'a gidin ve Security Fabric Kurulum kartını çift tıklatın.

       b) Topoloji ağacında, vurgulanan FortiAI seri numarasını tıklayın ve yetkilendiri seçin.

FortiAI satır içi engelleme ve AV ile entegrasyonu

         c) Aygıt sertifikasını doğrulamak için Kabul Et'i tıklatın.

FortiAI satır içi engelleme ve AV ile entegrasyonu

6. CLI'de FortiAI satır içi denetimini etkinleştirin:

config system fortiai

       set status enable

end

7. Satır içi incelemeyi kullanmak ve algılanan enfeksiyonları engellemek için bir AV profili yapılandırma .

config antivirus profile

       edit "av"

              set feature-set proxy

       config http

             set fortiai block

       end

      config ftp

             set fortiai block

      end

     config imap

            set fortiai block

      end

      config pop3

              set fortiai block

      end

     config smtp

            set fortiai block

    end

   config mapi

           set fortiai block

    end

    config nntp

            set fortiai block

    end

    config cifs

             set fortiai block

    end

    config ssh

            set fortiai block

     end

next end

8. AV profilini güvenlik duvarı ilkesine ekleme. Potansiyel enfeksiyonlar FortiAI hat içi denetimi tarafından engellendiğinde, yeni bir mesaj görüntülenir. (FortiAI Blok Sayfası, daha fazla bilgi için iletileri değiştirme sayfasına bakın) HTTP üzerinden engellenen bir bulaşma aşağıdakine benzer:

FortiAI satır içi engelleme ve AV ile entegrasyonu

Örnek Loglar

date=2021-04-29 time=15:12:07 eventtime=1619734327633022960 tz="-0700" logid="0209008221" type="utm"

subtype="virus" eventtype="fortiai" level="notice" vd="vdom1" policyid=1 msg="Detected by FortiAI." action="monitored"

service="HTTP" sessionid=13312 srcip=10.1.100.221 dstip=172.16.200.224 srcport=50792 dstport=80 srcintf="wan2"

srcintfrole="wan" dstintf="wan1" dstintfrole="wan" proto=6 direction="incoming" filename="detected_samples.zip"

quarskip="File-was-not-quarantined" virus="MSIL/Kryptik.KVH!tr" dtype="FortiAI"

ref="http://www.fortinet.com/ve?vn=MSIL%2FKryptik.KVH%21tr" virusid=0

url="http://172.16.200.224/avengine_ai/detected_samples.zip" profile="av" agent="curl/7.68.0" analyticssubmit="false"

crscore=50 craction=2 crlevel="critical"

Diğer AV denetim yöntemleriyle birlikte FortiAI hat içi denetimi

Aşağıdaki denetim mantığı, FortiAI hat içi denetimi diğer AV denetim yöntemleriyle aynı anda etkinleştirildiğinde geçerlidir. AV motor incelemesi ve kararı, performans nedeniyle her zaman önceliklidir. Gerçek davranış, hangi denetlenen protokolün kullanıldığına bağlıdır.

HTTP, FTP, SSH, ve CIFS protokolleri :

1. AV motor taraması; AV veritabanı ve FortiSandbox veritabanı (varsa).

        a) FortiAI hat içi denetimi aynı anda gerçekleşir.

2. WinPE PUP'lar (potansiyel olarak istenmeyen programlar) için AV motor makine öğrenimi algılaması.

       a) FortiAl hat içi denetimi aynı anda gerçekleşir.

3. Salgın önleme ve harici karma liste kaynakları.

      a) FortiAl hat içi denetimi aynı anda gerçekleşir.

Herhangi bir AV inceleme yöntemi virüslü bir karar verirse, FortiAI denetimi iptal edilir.

POP3, IMAP, SMTP, NNTP ve MAPI protokolleri:

1. AV motor taraması; AV veritabanı ve FortiSandbox veritabanı (varsa).

2. WinPE PUP'lar (potansiyel olarak istenmeyen programlar) için AV motoru makine öğrenimi algılama.

      a) FortiAI hat içi denetimi aynı anda gerçekleşir.

3. Salgın önleme ve harici karma liste kaynakları.

      a) FortiAI hat içi denetimi aynı anda gerçekleşir.

Bir AV profilinde, FortiAI bir hatayla karşılaşırsa gerçekleştirilecek eylemi yapılandırmak için set fortiai-error-action {log-only | block | ignore} öğesini kullanın.

Kabul edilen dosya türleri

Aşağıdaki dosya türleri, hat içi inceleme için FortiAI'ye gönderilir:

7Z                      ARJ                      BZIP                     BZIP2

CAB                   ELF                     GZIP                    HTML

JS                      LZH                     LZW                     MS Office documents (XML and non-XML)

PDF                  RAR                    RTF                       TAR

VBA                  VBS                     WinPE (EXE)      XZ

ZIP

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.