7.0.1 geliştirmesi, FortiAI’nin proxy inceleme modunda antivirüs profilleriyle kullanılmasına izin verir. (Akış modu şu anda desteklenmemektedir). FortiAI, yüksek riskli dosyaları inceler ve dosya özelliklerinin zararlı yazılımlarla ne kadar yakın olduğuna bağlı olarak güvenlik duvarına bir karar verir. Etkinleştirildiğinde, FortiAI karara göre dosyayı günlüğe kaydedebilir, engelleyebilir, yok sayabilir veya izleyebilir (izin verebilir).
Bu özelliği kullanmak için 1.5.1 veya sonraki bir sürüme sahip lisanslı bir FortiAI cihazı gereklidir.
FortiAI satır içi incelemesini bir AV profiliyle yapılandırmak için:
1.Security Fabric’i etkinleştirin ve arabirimi diğer Security Fabric aygıtlarının katılmasına izin vermek için yapılandırın(FortiOS Yönetim Kılavuzu’nda FortiGate ve aşağı akış FortiGate’leri yapılandırma)
2.FortiAI cihazını yükleyin ve ürünü geçerli bir lisansla etkinleştirin (bkz. Varlık Yönetimi Kılavuzu’nda ürün kaydetme). Ürün kaydedildikten sonra bir lisans dosyası sağlanır.
3. FortiAI’de, Sistem > Fortiguard’a gidin ve önceden eğitilmiş modellerin (motorların) güncel olduğunu doğrulayın. En son FortiAI ANN sürümleri için FortiGuard web sitesine bakın.
4. Security Fabric’e katılmak için FortiAI GUI’de FortiGate’i yapılandırın ve yetkilendirin:
a) Security Fabric > Fabric Connectors’a gidin ve bağlayıcı kartını çift tıklatın.
b) Security Fabric’i etkinleştirmek için geçiş düğmesine tıklayın.
c) FortiGate Kök IP adresini ve FortiAI IP adresini girin.
d) Tamam’a tıklayın. FortiAI artık yetkili.
5. FortiOS’ta FortiAI’ye yetki:
a) Security Fabric > Fabric Connectors’a gidin ve Security Fabric Kurulum kartını çift tıklatın.
b) Topoloji ağacında, vurgulanan FortiAI seri numarasını tıklayın ve yetkilendiri seçin.
c) Aygıt sertifikasını doğrulamak için Kabul Et’i tıklatın.
6. CLI’de FortiAI satır içi denetimini etkinleştirin:
config system fortiai
set status enable
end
7. Satır içi incelemeyi kullanmak ve algılanan enfeksiyonları engellemek için bir AV profili yapılandırma .
config antivirus profile
edit “av”
set feature-set proxy
config http
set fortiai block
end
config ftp
set fortiai block
end
config imap
set fortiai block
end
config pop3
set fortiai block
end
config smtp
set fortiai block
end
config mapi
set fortiai block
end
config nntp
set fortiai block
end
config cifs
set fortiai block
end
config ssh
set fortiai block
end
next end
8. AV profilini güvenlik duvarı ilkesine ekleme. Potansiyel enfeksiyonlar FortiAI hat içi denetimi tarafından engellendiğinde, yeni bir mesaj görüntülenir. (FortiAI Blok Sayfası, daha fazla bilgi
için iletileri değiştirme sayfasına bakın) HTTP üzerinden engellenen bir bulaşma aşağıdakine benzer:
Örnek Loglar
date=2021-04-29 time=15:12:07 eventtime=1619734327633022960 tz=”-0700″ logid=”0209008221″ type=”utm”
subtype=”virus” eventtype=”fortiai” level=”notice” vd=”vdom1″ policyid=1 msg=”Detected by FortiAI.” action=”monitored”
service=”HTTP” sessionid=13312 srcip=10.1.100.221 dstip=172.16.200.224 srcport=50792 dstport=80 srcintf=”wan2″
srcintfrole=”wan” dstintf=”wan1″ dstintfrole=”wan” proto=6 direction=”incoming” filename=”detected_samples.zip”
quarskip=”File-was-not-quarantined” virus=”MSIL/Kryptik.KVH!tr” dtype=”FortiAI”
ref=”http://www.fortinet.com/ve?vn=MSIL%2FKryptik.KVH%21tr” virusid=0
url=”http://172.16.200.224/avengine_ai/detected_samples.zip” profile=”av” agent=”curl/7.68.0″ analyticssubmit=”false”
crscore=50 craction=2 crlevel=”critical”
Diğer AV denetim yöntemleriyle birlikte FortiAI hat içi denetimi
Aşağıdaki denetim mantığı, FortiAI hat içi denetimi diğer AV denetim yöntemleriyle aynı anda etkinleştirildiğinde geçerlidir. AV motor incelemesi ve kararı, performans nedeniyle her zaman önceliklidir. Gerçek davranış, hangi denetlenen protokolün kullanıldığına bağlıdır.
HTTP, FTP, SSH, ve CIFS protokolleri :
1. AV motor taraması; AV veritabanı ve FortiSandbox veritabanı (varsa).
a) FortiAI hat içi denetimi aynı anda gerçekleşir.
2. WinPE PUP’lar (potansiyel olarak istenmeyen programlar) için AV motor makine öğrenimi algılaması.
a) FortiAl hat içi denetimi aynı anda gerçekleşir.
3. Salgın önleme ve harici karma liste kaynakları.
a) FortiAl hat içi denetimi aynı anda gerçekleşir.
Herhangi bir AV inceleme yöntemi virüslü bir karar verirse, FortiAI denetimi iptal edilir.
POP3, IMAP, SMTP, NNTP ve MAPI protokolleri:
1. AV motor taraması; AV veritabanı ve FortiSandbox veritabanı (varsa).
2. WinPE PUP’lar (potansiyel olarak istenmeyen programlar) için AV motoru makine öğrenimi
algılama.
a) FortiAI hat içi denetimi aynı anda gerçekleşir.
3. Salgın önleme ve harici karma liste kaynakları.
a) FortiAI hat içi denetimi aynı anda gerçekleşir.
Bir AV profilinde, FortiAI bir hatayla karşılaşırsa gerçekleştirilecek eylemi yapılandırmak için set fortiai-error-action {log-only | block | ignore} öğesini kullanın.
Kabul edilen dosya türleri
Aşağıdaki dosya türleri, hat içi inceleme için FortiAI’ye gönderilir:
7Z ARJ BZIP BZIP2
CAB ELF GZIP HTML
JS LZH LZW MS Office documents (XML and non-XML)
PDF RAR RTF TAR
VBA VBS WinPE (EXE) XZ
ZIP
