造訪Connection頁面及設置常用的Connections - antqtech/KM GitHub Wiki

造訪Connection頁面

進入FortiSOAR頁面,並將鼠標懸停在左側的閃電圖標上,然後點擊Connectors。

瀏覽Content Hub 頁面上，將會看到三個頁籤:

Discover標籤: 列出所有可用的FortiSOAR連接器。也可使用搜索功能輸入有興趣的安全工具去尋找其所對應的連接器。

Manage標籤: 列出所有當前已安裝好的連接器，並顯示御安裝的幾個連接器。

Create標籤: 用於編輯自定義創建或clone下來的連接器。

以下會介紹其中兩個Connector的功能與其設置的方法:

Fortinet Web Filter Lookup Connector介紹

主要功能: 該connector的核心功能是利用Fortinet 的 FortiGuard威脅情報，即時查詢並分類特定網域domain或URL。這可讓使用者針對可疑的網域或URL進行分類與評估，以便快速判斷其潛在的安全風險。

使用此connector的目的:

• 迅速檢查網域或URL的信譽和類別: 通過查詢FortiGuard，使用者可以快速判斷某個網域的分類，比如它是屬於安全,惡意,還是淺在風險類別。

• 支援自動化流程: 通過這個Connector，可以在FortiSOAR中設定自動化流程(Playbooks)，一旦發生可疑的URL，系統會自動調用此Connector進行查詢，然後基於結果自動執行相應的工具。

• 安全營運中心(SOC): 此Connector 可幫助SOC人員及時且批輛的處理安全威脅信息，避免手動查詢，並提升事件會應效率。

配置與設定步驟(摘要)

1. 設定連接器名稱: 在Manage標籤中為此Connector設定唯一的名稱(Configuration Name) 如”FortiGuard”方便識別。
2. 標記為預設配置: 勾選"Mark As Default Configuration”讓這個設定成為預設，方便日後自動化流程引用。
3. 確認Server URL 與SSL憑證: 確認Server URL填寫正確 https://fortiguard.com/ 且啟用SSL憑證驗證。
4. 檢查健康: 儲存設定後，系統會進行健康檢查，確認此Connection功能正常，顯示"Available”表示可正常使用。
5. 查看Actions&Playbooks: 此Connector提供一個查詢作業，Playbooks中的範例流程可作為實際使用的參考，便於快速應用。

Fortinet FortiGate Connector介紹

主要功能: 它是一個FortiSOAR的連接器，主要作用是讓FortiSOAR 可以與FortiGate防火牆進行互動，用於查詢及修改防火牆的設定，例如:

• 封鎖特定的URL,網域,應用程式或IP位址
• 設置Web Filter來篩選不安全的內容 這個連接器的主要目的在於透過FortiSOAR自動化安全操作，能夠及時防止或阻擋不安全的流量。

配置與設定步驟(摘要)

1. 在Manage標籤中為此Connector設定唯一的名稱(Configuration Name) 如”FGT-ISFW”，方便識別這個配置。
2. 勾選"Mark As Default Configuration”，將此設定為預設配置。
3. 設定Hostname和Port:

• Hostname: 填入 https://192.168.0.103/, 這是FortiGate的IP地址。

• Port: 預設為443，代表使用HTTPS連接FortiGate API的標準端口。

4. 設定API Key: 將之前保存在Notepad的 FortiGate API key 貼入 Set API Key欄位，以便讓FortiSOAR驗證並與FortiGate API 連接。
5. 設定Web Filter Profile:

• Web Filter Profile Name: 填入FortiSOAR_URL_Block，這是FortiGate上的Web Filter政策名稱。FortiSOAR可以透過這個政策名稱將URL或域名直接封鎖。

6.保存配置並進行健康檢查: 按完【Save】保存配置後，若Health Check顯示為Disconnected，則需檢查欄位填寫。

7. 確認Web Filter設定: 登入FortiGate，進入【Security Profiles】=> 【Web Filter】查看【FortiSOAR_URL_Block】。此處顯示之前已封鎖的條目，以及將來由FortiSOAR增加的封鎖條目。

這樣配置後，FortiSOAR可以直接透過 FortiGate Connector 來查詢並管理Web Filter設定，以達到快速,準確的安全控制。

FortiGate Connection實際運用示範:

FortiSOAR 的 Actions 按鈕來封鎖 URL 的步驟，這允許分析師快速對警報進行處理而不需撰寫完整的 playbook：

1. 登入FortiSOAR頁面後，點選左方選單的【Incident Response】=> 【Alerts】
2. 點選名叫 "IDS-Outbound C2 Communication Observed" 的告警事件。
3. 點擊左下角【Actions】按鈕，選擇Fortinet FortiGate 5.0.0的Connector 並點選【Block URL】選項。

4. 輸入 URL：在URL輸入欄中輸入"URL"，選擇出現的URL選項。
5. 執行操作: 點擊【Execute Action】來執行封鎖URL的操作。完成後，將看到來自FortiGate的回應數據。
6. 保存結果: 勾選【newly_blocked】後點擊【Save selected output keys】，此操作將記錄到工作區中。
7. 確認封鎖效果: 返回FGT-ISFW，點擊左側選單的【Security Profiles 】=> 【Web Filter】。
8. 檢查封鎖設定：雙擊【FortiSOAR_URL_Block】檔案，確認該URL以添加到封鎖名單中，並確保其無法再進行任何通訊。

使用 FortiSOAR 的 Actions 按鈕來封鎖目標 IP 地址

這可以阻止受感染的主機與C2伺服器通。

步驟:

1. 點擊左下角【Actions】按鈕，選擇Fortinet FortiGate 5.0.0的Connector 並點選【Block IP Address】選項。

2. 選擇封鎖方法: 在 【Block Method】下拉選單中選擇【Policy-Based】。
3. 設置策略名稱: 在”IPv4 Policy Name” 欄位中輸入"FortiSOAR_IP_Block"
4. 設置地址群組名稱: 在”Address Group Name”欄位中輸入”FortiSOAR_IP_Block”。
5. 輸入IP地址: 在IP Address 輸入欄位中選擇【Destination IP】。
6. 執行操作: 點擊【Execute Action】以進行封鎖IP地址操作。

7. 保存結果: 選擇【newly_blocked】，然後點擊【Save selected output keys】，此操作將記錄到工作區中。

8. 紀錄消息: 在工作區下方的文本框輸入以下信息: "C2 blocked, but the host is likely still infected. Escalating this alert to an Incident for the Incident Response team to take over." 按下【Reply】按鈕保存信息。

9. 升級警報: 在警報畫面底部點擊【Escalate】按鈕。

10. 填寫升級表單: 在彈出窗口中填入以下信息，然後點擊【Execute】:

• Incident Name: Infected Host
• Severity: High
• Incident Lead: CS Admin
• Escalation Reason: Generating C2 traffic means the host is likely infected
• Incident Type: Beaconing

11. 確認升級完成: 等待升級程序完成，完成後工作區會顯示指向事件的連結。

12. 關閉警報視窗: 點擊【X】以關閉警報視窗。