cómo usar FortiAnalyzer para detectar actividades relacionadas con el malware Emotet

Descripción

Este artículo describe cómo usar un controlador de eventos personalizado en FortiAnalyzer para detectar actividades relacionadas con el malware Emotet, que se detectó recientemente en campañas de spam.

¿Qué se incluye en Fortinet_SOC-Emotet-Malware-Detection.zip?
1. Emotet Malware_event-handler.json
Este controlador de eventos ayuda a identificar los intentos de explotación detectados por la detección de control de aplicaciones, IPS y AV de FortiGate. También se basa en la detección de antivirus, vulnerabilidades y filtros web de FortiClient, así como en la detección de FortiSandbox. Los registros que activan el controlador de eventos se generan desde FortiGate, FortiClient y FortiSandbox. Por lo tanto, su firma AV correspondiente debe mantenerse actualizada para prevenir y registrar las vulnerabilidades.

Alcance

El controlador de eventos y el informe personalizados proporcionados se pueden usar en FortiAnalyzer 6.4+.

Solución

Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descargue el archivo Fortinet_SOC-Emotet-Malware-Detection.zip (contiene 1 archivo)
2) Descomprimir Fortinet_SOC-Emotet-Malware-Detection.zip
3) Use Emotet Malware_event-handler.json para importar a los controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione Emotet Malware_event-handler.json

Resultado: Emotet Malware_event-handler.json está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos