cómo usar FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad de ejecución remota de código de VMware vCenter

0
0
0

Buenas ​🙌, por si no me conocéis soy César Sánchez y vengo a ayudaros con: 👇​ cómo usar FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad de ejecución remota de código de VMware vCenter

Descripción

Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad de ejecución remota de código de VMware vCenter. Ver CVE-2021-21985 y CVE-2021-21986 para referencia.


Para obtener más información sobre la amenaza, consulte también el Informe de señales de amenazas de FortiGuard Lab:

¿Qué está incluido en Fortinet_SOC-VMware-vCenter-Detection.zip?

1) brote_alertas_servicio_VMware.vCenter_detection.json
Este controlador de eventos ayuda a identificar los indicadores detectados por las firmas IPS y Endpoint Vulnerability de FortiGate y FortiClient. Los registros que activan el controlador de eventos se generan desde FortiGate y FortiClient. Por lo tanto, sus correspondientes firmas IPS y Endpoint Vulnerability deben mantenerse actualizadas para prevenir y registrar las vulnerabilidades.

FortiGate: asegúrese de que el paquete IPS Signature sea al menos 18.112 o superior para cubrir VMware.vCenter.CVE-2021-21985.Ejecución.de.código.remoto
FortiClient: asegúrese de que la protección contra vulnerabilidades de endpoints sea al menos 1.246 o superior para cubrir Las actualizaciones de VMware vCenter Server abordan las vulnerabilidades de autenticación y ejecución remota de código (CVE-…

2) brote_alertas_servicio_VMware.vCenter_report.dat
Un informe para resumir los hallazgos sobre las actividades relacionadas con la vulnerabilidad de ejecución remota de código de VMware vCenter, detectada por IPS Engine y la vulnerabilidad de Ednpoint en los dispositivos FortiGate y FortiClient.

Consulte la sección Solución para obtener instrucciones sobre cómo cargar el controlador de eventos en una unidad FortiAnalyzer.

Alcance
El controlador de eventos y el informe personalizados proporcionados se pueden usar en FortiAnalyzer 6.4+
Solución

Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 7.0.0.
1) Descarga el Fortinet_SOC-VMware-vCenter-Detection.zip archivo (contiene 2 archivos)
2) Descomprimir Fortinet_SOC-VMware-vCenter-Detection.zip
3) Uso brote_alertas_servicio_VMware.vCenter_detection.json para importar en Controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione brote_alertas_servicio_VMware.vCenter_detection.json

EventHandlerList-FortiDemo.png
Resultado:brote_alertas_servicio_VMware.vCenter_detection.json está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos

4) Uso brote_alertas_servicio_VMware.vCenter_report.dat para importar en Informes
una. Elija un Fabric ADOM (si los ADOM están habilitados)
b. Elija el módulo Informe
C. Seleccione la opción Importar en «Más»
d. Seleccione brote_alertas_servicio_VMware.vCenter_report.dat
Informe de importación.png

Resultado: brote_alertas_servicio_VMware.vCenter_report.dat‘ se puede ejecutar en cualquier momento según lo determine un usuario administrador.

​✅ Para acabar, felicitarte por haber llegado hasta el final de este artículo. Esperamos que haya servido de ayuda y que recibamos pronto otra visita tuya.
Si no logras encontrar solución a tu duda utiliza la search bar o contacta con nosotros en los comentarios.
¡Un placer!

Artículos relacionados  inicie sesión a través del certificado PKI

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *