发生|可能会_教程篇(5.0)04.Fortint云服务和脚本❀FortiEDR❀Fortinet网络安全专家NSE5

篇首语：本文由编程笔记#小编为大家整理，主要介绍了教程篇(5.0) 04. Fortint云服务和脚本 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5相关的知识，希望对你有一定的参考价值。

  在这节课中&＃xff0c;你将学习什么是Fortinet云服务&＃xff0c;为什么需要它&＃xff0c;它是如何工作的&＃xff0c;以及关于脚本。

  在这节课中&＃xff0c;你将学习上图显示的主题。

  通过展示使用Fortinet云服务的能力&＃xff0c;你将能够处理事件管理任务。

  FCS是一个集中处理事件管理任务的系统。它在事件发生后评估每个事件。核心做出阻塞或允许的初始决定&＃xff0c;并对事件进行分类&＃xff0c;然后将数据发送给FCS进行进一步分析。FCS验证分类并在需要时更改它&＃xff0c;然后对该分类执行任何分配的脚本操作。FCS负责管理脚本中的所有调查操作&＃xff0c;比如将收集器置于隔离模式&＃xff0c;以及修复操作&＃xff0c;比如删除恶意文件。

　　FCS的主要优点是提高了事件分类的准确性。为了阻止恶意软件造成伤害&＃xff0c;你必须实时决定是否应该阻止或允许进程。这就是核心的作用。FCS随后会对事件进行深入分析(这是不可能实时进行的)&＃xff0c;并微调分类。最终&＃xff0c;我们的目标是将所有事件归类为恶意事件或安全事件&＃xff0c;这样就不需要花费大量时间进行人工分析。

  现在&＃xff0c;你将了解FCS是如何融入Fortinet基础设施的。正如你在前面的课程中看到的&＃xff0c;核心从收集器接收事件数据&＃xff0c;并发回一个允许或阻塞的裁决。核心还通过聚合器将事件数据(包括初步分类)发送到集中管理&＃xff0c;然后再发送到FCS。FCS维护着一个不断更新的事件和恶意软件数据数据库&＃xff0c;用于对事件进行深度分析&＃xff0c;并微调核心分配的分类级别。FCS还处理脚本中配置的调查和补救任务。修复恶意事件后&＃xff0c;FCS会自动将其标记为已处理。如果FCS将一个事件重新分类为安全的&＃xff0c;它会自动创建一个异常&＃xff0c;因此如果同样的事件再次发生&＃xff0c;它不会被阻止。FCS将所有这些信息发送回集中管理&＃xff0c;集中管理将其显示在管理控制台的事件查看器中。

  现在&＃xff0c;你将进一步了解FCS是如何工作的。首先&＃xff0c;它会根据之前大量的事件数据库自动评估每个事件。所有这些信息对于提高Fortinet的准确性非常有用&＃xff0c;但处理这些信息确实需要几秒钟。这就是为什么最初的分类发生在核心。核心可以评估一个事件&＃xff0c;并几乎在瞬间做出阻止或允许它发生的决定。这很重要&＃xff0c;因为攻击者不需要超过几毫秒的时间来加密或窃取数据&＃xff0c;所以你必须能够实时做出反应。在核心做出决定后&＃xff0c;FCS对分类进行微调。脚本行动是根据FCS批准的分类来执行的。例如&＃xff0c;你在右边看到的事件中&＃xff0c;Fortinet核心将该事件归类为可疑事件。如果你查看触发规则部分&＃xff0c;你可以看到该事件违反了执行预防策略中的可疑文件检测规则&＃xff0c;因此Fortinet阻止了它&＃xff0c;你可以通过规则旁边的红色图标看到这一点。然后&＃xff0c;FCS对该事件进行分析&＃xff0c;并将其分类升级为恶意事件&＃xff0c;根据之前的事件数据验证该事件为不良事件。基于这种恶意分类&＃xff0c;FCS会将受影响的收集器移动到高安全性收集器组&＃xff0c;但脚本处于模拟模式。你可以通过脚本动作之前的灰色模拟标签来判断。

  看看一个典型事件的时间轴。事件第一次发生的时间是起点。如果你看右边的事件&＃xff0c;你可以看到事件发生在6月11日21点23分4秒。在事件发生的几毫秒内&＃xff0c;核心对其进行评估、分类&＃xff0c;并根据配置的策略设置分配三个操作之一&＃xff1a;阻塞、允许或记录。在上图显示的示例中&＃xff0c;你可以看到该事件的分类详细信息窗格的History部分。在底部的初始分类是由核指定的——它将21点23分零4秒的事件归类为不确定事件——在初始事件发生的一秒内。接下来&＃xff0c;FCS接收事件数据并执行额外的评估&＃xff0c;根据需要应用剧本操作或异常。再次&＃xff0c;看看历史&＃xff0c;你可以看到FCS在21点23分13秒将分类修改为可能安全。仍然很快&＃xff0c;但在这种情况下&＃xff0c;比核心慢了9秒。在本例中&＃xff0c;你没有看到列出的任何脚本操作&＃xff0c;因为没有为Likely Safe事件选择脚本操作。

  ForiEDR聚合事件&＃xff0c;使你更容易审阅它们。原始数据项将根据流程、尝试的操作和违反的规则聚合到单个事件中。例如&＃xff0c;如果一个名为driverupdate.exe的文件多次尝试连接到网络&＃xff0c;可能会打破非标准的通信规则&＃xff0c;每次尝试都会聚合成一个事件。

　　事件然后聚合为警报。你可以按设备或流程聚合事件。例如&＃xff0c;如果选择Process视图&＃xff0c;所有涉及driverupdate.exe文件的事件都会聚合到一个警报中。

　　如果你按流程查看事件&＃xff0c;你可能会注意到涉及同一流程的不同事件可能具有不同的分类。这样做的原因是&＃xff0c;分类不仅基于过程本身&＃xff0c;还基于它试图做什么。例如&＃xff1a;notepad.exe&＃xff0c;它是一种非常常见的文本编辑应用程序&＃xff0c;几乎在所有Windows机器上都可以找到&＃xff0c;众所周知&＃xff0c;它是安全的。通常情况下&＃xff0c;notepad.exe不会产生任何警报&＃xff0c;但如果它在写入磁盘时违反了FortiEDR规则(可能是由于粗心的软件修订)&＃xff0c;它会产生警报。在检查事件之后&＃xff0c;FCS可能会将该事件重新归类为安全事件。你希望notepad.exe写入磁盘&＃xff0c;因此此行为不会引发任何危险信号。但是如果notepad.exe突然启动了一个服务&＃xff0c;打开了一个端口&＃xff0c;开始监听。这不是文本编辑器的行为方式&＃xff0c;所以FCS可能会将此事件重新归类为恶意事件。在两种情况下&＃xff0c;它都是相同的签名可执行文件&＃xff0c;但在第二种情况下&＃xff0c;它的行为很奇怪&＃xff0c;可能被恶意进程劫持了。

  FCS何时更新事件&＃xff1f;FCS在每个新事件发生时评估它。如果同一事件再次发生—例如&＃xff0c;如果进程再次尝试连接到某个IP地址—FCS将重新评估该事件。如果当时有新的信息可用&＃xff0c;FCS会根据需要更新现有事件的分类。在上图右侧的示例中&＃xff0c;24个原始数据项被聚合到突出显示的事件中。每次发生新的原始事件时&＃xff0c;FCS都会重新评估该事件。在第一次事件发生的1月16日&＃xff0c;FCS将其归类为“恶意”。5天后&＃xff0c;一个新的原始事件发生了&＃xff0c;FCS根据新的数据将其分类改为Safe。一天后&＃xff0c;该事件再次发生&＃xff0c;FCS再次将其归类为“可能安全”。你可以在历史记录下的分类详细信息窗格中看到这些更改。

　　FCS不会评估过去的事件&＃xff0c;除非它们再次发生。在相同的环境中&＃xff0c;递归事件必须与原始事件聚合。这意味着&＃xff0c;如果事件发生在不同的时间&＃xff0c;具有相似事件的两家公司可能会看到不同的分类。

　　看看上图右边的时间轴。公司A在1月12日和1月18日发生了两次涉及GoogleUpdate.exe的原始事件。B公司有三个raw事件&＃xff0c;涉及相同的流程和相同的违规&＃xff0c;最后一个发生在1月22日。在此期间&＃xff0c;FCS获得了新的数据&＃xff0c;并在1月21日和1月再次修改了分类22。A公司在FCS修订其分类后&＃xff0c;并无新事件发生。如果各公司在本月末审查各自的事件&＃xff0c;A公司将发现18日被分类为“恶意”的事件&＃xff0c;而B公司将发现22日被分类为“可能安全”的事件。

  如何知道FCS是否正在你的环境中运行&＃xff1f;最快的方法是检查DASHBOARD。在仪表板的右下角&＃xff0c;你将发现SYSTEM COMPONENTS健康图表。FCS是显示的第四个条—如果它是绿色的&＃xff0c;那么FCS已经启动并运行。

  答案&＃xff1a;A

  现在你了解了Fortinet云服务。接下来&＃xff0c;你将学习脚本。

  通过在脚本中展示能力&＃xff0c;你将能够理解FortiEDR AIR解决方案。

  Fortinet使用了两种类型的脚本。第一个是AIR&＃xff0c;这些脚本由FCS支持&＃xff0c;可以在管理控制台的SECURITY SETTINGS选项卡上进行配置。

　　FCS剧本可以根据要求通过Fortinet支持来启用。这些脚本使用Fortinet专有知识来识别安全事件并创建自动异常。

  脚本是FortiEDR在事件发生时执行的一组自动操作。你可以为不同的分类级别分配不同的操作。例如&＃xff0c;你可以为所有分类级别的事件启用通知&＃xff0c;但只有在分类是恶意的情况下才终止流程并清除持久数据。

　　你可以克隆脚本来创建具有不同设置的版本。默认的脚本在模拟模式下出现。当脚本处于模拟模式时&＃xff0c;你仍然会收到配置的通知&＃xff0c;但不会采取其他操作。通过查看EVENT VIEWER中的分类详细信息面板&＃xff0c;你可以看到FortiEDR在响应特定事件时会做些什么。在另一课中你会学到更多。如果剧本处于预防模式&＃xff0c;那么FortiEDR将按照配置执行所有操作。

　　每个收集器组被分配给一个且只有一个脚本。默认情况下&＃xff0c;所有收集器组都被分配给默认脚本。

  你可以根据自己的需要修改脚本操作。AIR脚本控制事件通知(电子邮件、syslog或打开票据)&＃xff0c;可以自动将设备与收集器或使用FortiNAC隔离&＃xff0c;将其转移到高安全组&＃xff0c;并对其进行补救。作为补救配置的一部分&＃xff0c;恶意IP地址也可以添加到FortiGate以阻止未来的交易。在配置自定义连接器和操作之后&＃xff0c;你可以将自定义操作添加到脚本中。

  隔离模式是一种收集状态&＃xff0c;用于帮助控制正在调查和修复的感染。AIR脚本可以配置为在触发事件时将收集器自动置于隔离模式。例如&＃xff0c;你可以配置脚本&＃xff0c;使触发被归类为恶意事件的所有收集器自动进入隔离模式。

　　隔离模式是一种状态。它不影响收集器组的分配&＃xff0c;收集器可以处于隔离模式&＃xff0c;但仍然保持在其通常的收集器组中。但是&＃xff0c;处于隔离模式的收集器会自动分配给“通信控制”中的“隔离策略”&＃xff0c;而不是它们组的策略。隔离策略是内置的&＃xff0c;默认情况下&＃xff0c;它阻止所有应用程序通信。你可以根据需要允许特定的应用程序&＃xff0c;如帮助台或安全软件。最佳实践是只允许可能需要远程修复设备的应用程序。可以使用“隔离”下拉列表在“库存”选项卡上手动将收集器放入或退出隔离模式。处于隔离模式的采集器会有红色指示灯图标。

  如果启用FCS脚本&＃xff0c;FCS可以自动创建异常。当FCS分析一个事件时&＃xff0c;它可能会发现一个最初被核心阻塞的事件实际上是安全的。在这些情况下&＃xff0c;它可以将分类更改为safe&＃xff0c;但是&＃xff0c;为了确保事件不会再次被阻塞&＃xff0c;它还可以创建一个自动异常。你们可以在上图的右边看到一个例子。该异常有一个说明&＃xff0c;说明它是由FCS创建的&＃xff0c;你可以看到日期、时间和应用该异常的原因。

　　为什么要启用自动异常&＃xff1f;这对终端用户和系统管理员都有好处。最终用户可以更有效率&＃xff0c;因为安全的进程不会再次被阻塞。他们不需要打电话给技术支持来解决问题&＃xff0c;这是自动允许的。对于管理员来说&＃xff0c;工作更少——事件查看器不会充斥着需要调查和创建异常的安全事件。注意&＃xff0c;如果启用了自动异常&＃xff0c;系统所有者必须跟踪所有自动异常。Fortinet不对FCS造成的任何例外负责。

  答案&＃xff1a;B

  答案&＃xff1a;B

  恭喜你&＃xff01;你已经完成了这一课。现在&＃xff0c;你将回顾你在本课中涉及的目标。

  通过掌握本课涉及的目标&＃xff0c;你了解了Fortinet云服务是如何工作的。你还了解了它与脚本的集成。