Sniffer modunda IP adresi tehdit beslemelerini loglara kaydetme

Sniffer modunda, bir kaynak veya hedef adres harici bir tehdit beslemesindeki bir IP adresiyle her eşleştiğinde trafik loglarını kaydedebilirsiniz.

config firewall sniffer

          edit <id>

                  set logtraffic all

                  set interface <interface>

                  set ip-threatfeed-status {enable | disable}

                  set ip-threatfeed <threat feed> …

         next

end

  • ip-threatfeed-status {enable | disable} :  Enable/disable the IP threat feed.
  • ip-threatfeed <threat feed> … : The name of an existing IP threat feed.

IP birden fazla threat feed ile eşleştiğinde, dinleyici günlüğü, yapılandırmadaki ilk harici bağlayıcıyı kullanan normal güvenlik duvarı politika günlüğünden farklı olarak yapılandırmadaki son harici bağlayıcıyı kullanır. Tehdit feed’i bir sniffer politikasında etkinleştirildiğinde ve yapılandırıldığında, trafik IP’si tehdit feed’iyle eşleştiği sürece, bunun için bir trafik günlüğü olacaktır. (logtraffic all veya utm olarak ayarlanmış olsa bile)

Threat feed’ini günlüğe kaydetmek üzere bir sniffer politikası yapılandırmak için:

  • Trafik loglarına adres UUID’lerini eklemeyi etkinleştirin:

config system global

         set log-uuid-address enable

end

  • Sniffer policyleri yapılandırın:

config firewall sniffer

       edit 1

             set logtraffic all

             set ipv6 enable

              set interface “port3”

              set ip-threatfeed-status enable

               set ip-threatfeed “g-source”

       next

end

Örnek Log:

1: date=2021-01-26 time=15:51:37 eventtime=1611705097880421908 tz=”-0800″ logid=”0004000017″ type=”traffic” subtype=”sniffer” level=”notice” vd=”vd1″ srcip=10.1.100.12 srcport=34604 srcintf=”port3″ srcintfrole=”undefined” dstip=172.16.200.55 dstport=80 dstintf=”port3″ dstintfrole=”undefined” srcthreatfeed=”g-source” srccountry=”Reserved” dstcountry=”Reserved” sessionid=30384 proto=6 action=”accept” policyid=1 policytype=”sniffer” service=”HTTP” trandisp=”snat” transip=0.0.0.0 transport=0 duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 rcvdpkt=0 appcat=”unscanned”

FortiGate satın almak ve FortiGate Çözümleri için OzzTech Bilgi Güvenliği Teknolojileri ile İletişime Geçebilirsiniz!

İlginizi Çekebilecek Makaleler​

AP İşletme Sıcaklığı

Bu 7.0.1 geliştirmesi, wireless denetleyicinin yerleşik sıcaklık sensörlerine sahip FortiAP-F modellerinden sıcaklık değerleri almasına olanak tanır. FortiOS’ta aşağıdaki komutlar mevcuttur: Aşağıdaki komut FortiAP de geçerli:

Devamı »
TLS loglarını iyileştirin

Sunucu sertifikası bilgilerini ve TLS anlaşmalarını loglara kaydetmek için SSL/SSH profiline yeni seçenekler eklendi. Bu seçenekler etkinleştirildiğinde UTM SSL loglarına yeni alanlar eklenir. config firewall

Devamı »