Descripción
Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad Printnightmare de Microsoft. Este Se asigna vulnerabilidad de ejecución remota de código de Windows Print Spooler CVE-2021-34527.
Para obtener más información sobre la amenaza, consulte también el Informe de señales de amenazas de FortiGuard Lab:
¿Qué está incluido en Fortinet_SOC-Printnightmare-Detection.zip?
1) Outbreak_Alerts_Service_PrintNightmare_Detection.json
Este controlador de eventos ayuda a identificar los indicadores detectados por las firmas IPS y Endpoint Vulnerability de FortiGate y FortiClient. Los registros que activan el controlador de eventos se generan desde FortiGate y FortiClient. Por lo tanto, es muy recomendable mantener actualizadas las firmas de AV, IPS y vulnerabilidad de endpoint en productos aplicables como FortiGate y FortiClient para prevenir y registrar ataques para explotar la vulnerabilidad.
Las firmas se agregan, pero no se limitan, a los siguientes paquetes de firmas:
Protección contra vulnerabilidades de endpoint 1.251 – varias actualizaciones de Microsoft para Windows
2) Outbreak_Alerts_Service_PrintNightmare_Report.dat
Un informe para resumir los hallazgos sobre las actividades relacionadas con la vulnerabilidad Printnightmare, según lo detectado por el IPS y la vulnerabilidad de endpoint en los dispositivos FortiGate y FortiClient.
Consulte la sección Solución para obtener instrucciones sobre cómo cargar el controlador de eventos en una unidad FortiAnalyzer.
Alcance
El controlador de eventos y el informe personalizados proporcionados se pueden usar en FortiAnalyzer 6.2, FortiAnalyzer 6.4 y FortiAnalyzer 7.0
Solución
Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descarga el Fortinet_SOC-Printnightmare-Detection.zip archivo (contiene 2 archivos)
2) Descomprimir Fortinet_SOC-Printnightmare-Detection.zip
3) Uso Outbreak_Alerts_Service_PrintNightmare_Detection.json para importar en Controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione Outbreak_Alerts_Service_PrintNightmare_Detection.json
Resultado:Outbreak_Alerts_Service_PrintNightmare_Detection.json está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos
4) Uso Outbreak_Alerts_Service_PrintNightmare_Report.dat para importar en Informes
una. Elija un Fabric ADOM (si los ADOM están habilitados)
b. Elija el módulo Informe
C. Seleccione la opción Importar en «Más»
d. Seleccione Outbreak_Alerts_Service_PrintNightmare_Report.dat
Resultado: ‘Outbreak_Alerts_Service_PrintNightmare_Report.dat‘ se puede ejecutar en cualquier momento según lo determine un usuario administrador.