教程篇(5.0) 04. Fortint云服务和脚本 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5
Posted 飞塔老梅子
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(5.0) 04. Fortint云服务和脚本 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5相关的知识,希望对你有一定的参考价值。
在这节课中,你将学习什么是Fortinet云服务,为什么需要它,它是如何工作的,以及关于脚本。
在这节课中,你将学习上图显示的主题。
通过展示使用Fortinet云服务的能力,你将能够处理事件管理任务。
FCS是一个集中处理事件管理任务的系统。它在事件发生后评估每个事件。核心做出阻塞或允许的初始决定,并对事件进行分类,然后将数据发送给FCS进行进一步分析。FCS验证分类并在需要时更改它,然后对该分类执行任何分配的脚本操作。FCS负责管理脚本中的所有调查操作,比如将收集器置于隔离模式,以及修复操作,比如删除恶意文件。
FCS的主要优点是提高了事件分类的准确性。为了阻止恶意软件造成伤害,你必须实时决定是否应该阻止或允许进程。这就是核心的作用。FCS随后会对事件进行深入分析(这是不可能实时进行的),并微调分类。最终,我们的目标是将所有事件归类为恶意事件或安全事件,这样就不需要花费大量时间进行人工分析。
现在,你将了解FCS是如何融入Fortinet基础设施的。正如你在前面的课程中看到的,核心从收集器接收事件数据,并发回一个允许或阻塞的裁决。核心还通过聚合器将事件数据(包括初步分类)发送到集中管理,然后再发送到FCS。FCS维护着一个不断更新的事件和恶意软件数据数据库,用于对事件进行深度分析,并微调核心分配的分类级别。FCS还处理脚本中配置的调查和补救任务。修复恶意事件后,FCS会自动将其标记为已处理。如果FCS将一个事件重新分类为安全的,它会自动创建一个异常,因此如果同样的事件再次发生,它不会被阻止。FCS将所有这些信息发送回集中管理,集中管理将其显示在管理控制台的事件查看器中。
现在,你将进一步了解FCS是如何工作的。首先,它会根据之前大量的事件数据库自动评估每个事件。所有这些信息对于提高Fortinet的准确性非常有用,但处理这些信息确实需要几秒钟。这就是为什么最初的分类发生在核心。核心可以评估一个事件,并几乎在瞬间做出阻止或允许它发生的决定。这很重要,因为攻击者不需要超过几毫秒的时间来加密或窃取数据,所以你必须能够实时做出反应。在核心做出决定后,FCS对分类进行微调。脚本行动是根据FCS批准的分类来执行的。例如,你在右边看到的事件中,Fortinet核心将该事件归类为可疑事件。如果你查看触发规则部分,你可以看到该事件违反了执行预防策略中的可疑文件检测规则,因此Fortinet阻止了它,你可以通过规则旁边的红色图标看到这一点。然后,FCS对该事件进行分析,并将其分类升级为恶意事件,根据之前的事件数据验证该事件为不良事件。基于这种恶意分类,FCS会将受影响的收集器移动到高安全性收集器组,但脚本处于模拟模式。你可以通过脚本动作之前的灰色模拟标签来判断。
看看一个典型事件的时间轴。事件第一次发生的时间是起点。如果你看右边的事件,你可以看到事件发生在6月11日21点23分4秒。在事件发生的几毫秒内,核心对其进行评估、分类,并根据配置的策略设置分配三个操作之一:阻塞、允许或记录。在上图显示的示例中,你可以看到该事件的分类详细信息窗格的History部分。在底部的初始分类是由核指定的——它将21点23分零4秒的事件归类为不确定事件——在初始事件发生的一秒内。接下来,FCS接收事件数据并执行额外的评估,根据需要应用剧本操作或异常。再次,看看历史,你可以看到FCS在21点23分13秒将分类修改为可能安全。仍然很快,但在这种情况下,比核心慢了9秒。在本例中,你没有看到列出的任何脚本操作,因为没有为Likely Safe事件选择脚本操作。
ForiEDR聚合事件,使你更容易审阅它们。原始数据项将根据流程、尝试的操作和违反的规则聚合到单个事件中。例如,如果一个名为driverupdate.exe的文件多次尝试连接到网络,可能会打破非标准的通信规则,每次尝试都会聚合成一个事件。
事件然后聚合为警报。你可以按设备或流程聚合事件。例如,如果选择Process视图,所有涉及driverupdate.exe文件的事件都会聚合到一个警报中。
如果你按流程查看事件,你可能会注意到涉及同一流程的不同事件可能具有不同的分类。这样做的原因是,分类不仅基于过程本身,还基于它试图做什么。例如:notepad.exe,它是一种非常常见的文本编辑应用程序,几乎在所有Windows机器上都可以找到,众所周知,它是安全的。通常情况下,notepad.exe不会产生任何警报,但如果它在写入磁盘时违反了FortiEDR规则(可能是由于粗心的软件修订),它会产生警报。在检查事件之后,FCS可能会将该事件重新归类为安全事件。你希望notepad.exe写入磁盘,因此此行为不会引发任何危险信号。但是如果notepad.exe突然启动了一个服务,打开了一个端口,开始监听。这不是文本编辑器的行为方式,所以FCS可能会将此事件重新归类为恶意事件。在两种情况下,它都是相同的签名可执行文件,但在第二种情况下,它的行为很奇怪,可能被恶意进程劫持了。
FCS何时更新事件?FCS在每个新事件发生时评估它。如果同一事件再次发生—例如,如果进程再次尝试连接到某个IP地址—FCS将重新评估该事件。如果当时有新的信息可用,FCS会根据需要更新现有事件的分类。在上图右侧的示例中,24个原始数据项被聚合到突出显示的事件中。每次发生新的原始事件时,FCS都会重新评估该事件。在第一次事件发生的1月16日,FCS将其归类为“恶意”。5天后,一个新的原始事件发生了,FCS根据新的数据将其分类改为Safe。一天后,该事件再次发生,FCS再次将其归类为“可能安全”。你可以在历史记录下的分类详细信息窗格中看到这些更改。
FCS不会评估过去的事件,除非它们再次发生。在相同的环境中,递归事件必须与原始事件聚合。这意味着,如果事件发生在不同的时间,具有相似事件的两家公司可能会看到不同的分类。
看看上图右边的时间轴。公司A在1月12日和1月18日发生了两次涉及GoogleUpdate.exe的原始事件。B公司有三个raw事件,涉及相同的流程和相同的违规,最后一个发生在1月22日。在此期间,FCS获得了新的数据,并在1月21日和1月再次修改了分类22。A公司在FCS修订其分类后,并无新事件发生。如果各公司在本月末审查各自的事件,A公司将发现18日被分类为“恶意”的事件,而B公司将发现22日被分类为“可能安全”的事件。
如何知道FCS是否正在你的环境中运行?最快的方法是检查DASHBOARD。在仪表板的右下角,你将发现SYSTEM COMPONENTS健康图表。FCS是显示的第四个条—如果它是绿色的,那么FCS已经启动并运行。
答案:A
现在你了解了Fortinet云服务。接下来,你将学习脚本。
通过在脚本中展示能力,你将能够理解FortiEDR AIR解决方案。
Fortinet使用了两种类型的脚本。第一个是AIR,这些脚本由FCS支持,可以在管理控制台的SECURITY SETTINGS选项卡上进行配置。
FCS剧本可以根据要求通过Fortinet支持来启用。这些脚本使用Fortinet专有知识来识别安全事件并创建自动异常。
脚本是FortiEDR在事件发生时执行的一组自动操作。你可以为不同的分类级别分配不同的操作。例如,你可以为所有分类级别的事件启用通知,但只有在分类是恶意的情况下才终止流程并清除持久数据。
你可以克隆脚本来创建具有不同设置的版本。默认的脚本在模拟模式下出现。当脚本处于模拟模式时,你仍然会收到配置的通知,但不会采取其他操作。通过查看EVENT VIEWER中的分类详细信息面板,你可以看到FortiEDR在响应特定事件时会做些什么。在另一课中你会学到更多。如果剧本处于预防模式,那么FortiEDR将按照配置执行所有操作。
每个收集器组被分配给一个且只有一个脚本。默认情况下,所有收集器组都被分配给默认脚本。
你可以根据自己的需要修改脚本操作。AIR脚本控制事件通知(电子邮件、syslog或打开票据),可以自动将设备与收集器或使用FortiNAC隔离,将其转移到高安全组,并对其进行补救。作为补救配置的一部分,恶意IP地址也可以添加到FortiGate以阻止未来的交易。在配置自定义连接器和操作之后,你可以将自定义操作添加到脚本中。
隔离模式是一种收集状态,用于帮助控制正在调查和修复的感染。AIR脚本可以配置为在触发事件时将收集器自动置于隔离模式。例如,你可以配置脚本,使触发被归类为恶意事件的所有收集器自动进入隔离模式。
隔离模式是一种状态。它不影响收集器组的分配,收集器可以处于隔离模式,但仍然保持在其通常的收集器组中。但是,处于隔离模式的收集器会自动分配给“通信控制”中的“隔离策略”,而不是它们组的策略。隔离策略是内置的,默认情况下,它阻止所有应用程序通信。你可以根据需要允许特定的应用程序,如帮助台或安全软件。最佳实践是只允许可能需要远程修复设备的应用程序。可以使用“隔离”下拉列表在“库存”选项卡上手动将收集器放入或退出隔离模式。处于隔离模式的采集器会有红色指示灯图标。
如果启用FCS脚本,FCS可以自动创建异常。当FCS分析一个事件时,它可能会发现一个最初被核心阻塞的事件实际上是安全的。在这些情况下,它可以将分类更改为safe,但是,为了确保事件不会再次被阻塞,它还可以创建一个自动异常。你们可以在上图的右边看到一个例子。该异常有一个说明,说明它是由FCS创建的,你可以看到日期、时间和应用该异常的原因。
为什么要启用自动异常?这对终端用户和系统管理员都有好处。最终用户可以更有效率,因为安全的进程不会再次被阻塞。他们不需要打电话给技术支持来解决问题,这是自动允许的。对于管理员来说,工作更少——事件查看器不会充斥着需要调查和创建异常的安全事件。注意,如果启用了自动异常,系统所有者必须跟踪所有自动异常。Fortinet不对FCS造成的任何例外负责。
答案:B
答案:B
恭喜你!你已经完成了这一课。现在,你将回顾你在本课中涉及的目标。
通过掌握本课涉及的目标,你了解了Fortinet云服务是如何工作的。你还了解了它与脚本的集成。
以上是关于教程篇(5.0) 04. Fortint云服务和脚本 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5的主要内容,如果未能解决你的问题,请参考以下文章
教程篇(5.0) 03. 安全策略 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5
教程篇(5.0) 09. RESTful API ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5