cómo usar FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad Printnightmare de Microsoft

Buenas ​👍, soy César Sánchez y hoy nos toca tratar con: 🔽 cómo usar FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad Printnightmare de Microsoft

Descripción
Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividades relacionadas con la vulnerabilidad Printnightmare de Microsoft. Este Se asigna vulnerabilidad de ejecución remota de código de Windows Print Spooler CVE-2021-34527.

Para obtener más información sobre la amenaza, consulte también el Informe de señales de amenazas de FortiGuard Lab:

¿Qué está incluido en Fortinet_SOC-Printnightmare-Detection.zip?
1) Outbreak_Alerts_Service_PrintNightmare_Detection.json
Este controlador de eventos ayuda a identificar los indicadores detectados por las firmas IPS y Endpoint Vulnerability de FortiGate y FortiClient. Los registros que activan el controlador de eventos se generan desde FortiGate y FortiClient. Por lo tanto, es muy recomendable mantener actualizadas las firmas de AV, IPS y vulnerabilidad de endpoint en productos aplicables como FortiGate y FortiClient para prevenir y registrar ataques para explotar la vulnerabilidad.
Las firmas se agregan, pero no se limitan, a los siguientes paquetes de firmas:
Protección contra vulnerabilidades de endpoint 1.250 – varias actualizaciones de Microsoft para Windows

Protección contra vulnerabilidades de endpoint 1.251 – varias actualizaciones de Microsoft para Windows

2) Outbreak_Alerts_Service_PrintNightmare_Report.dat
Un informe para resumir los hallazgos sobre las actividades relacionadas con la vulnerabilidad Printnightmare, según lo detectado por el IPS y la vulnerabilidad de endpoint en los dispositivos FortiGate y FortiClient.
Consulte la sección Solución para obtener instrucciones sobre cómo cargar el controlador de eventos en una unidad FortiAnalyzer.

Alcance
El controlador de eventos y el informe personalizados proporcionados se pueden usar en FortiAnalyzer 6.2, FortiAnalyzer 6.4 y FortiAnalyzer 7.0
Solución

Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descarga el Fortinet_SOC-Printnightmare-Detection.zip archivo (contiene 2 archivos)
2) Descomprimir Fortinet_SOC-Printnightmare-Detection.zip
3) Uso Outbreak_Alerts_Service_PrintNightmare_Detection.json para importar en Controladores de eventos
una. Elija un ADOM (si los ADOM están habilitados)
b. Elija el módulo FortiSOC
C. Seleccione la lista de controladores de eventos
d. Seleccione la opción Importar en «Más»
mi. Seleccione Outbreak_Alerts_Service_PrintNightmare_Detection.json

EventHandlerList-FortiDemo.png

Resultado:Outbreak_Alerts_Service_PrintNightmare_Detection.json está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos
4) Uso Outbreak_Alerts_Service_PrintNightmare_Report.dat para importar en Informes
una. Elija un Fabric ADOM (si los ADOM están habilitados)
b. Elija el módulo Informe
C. Seleccione la opción Importar en «Más»
d. Seleccione Outbreak_Alerts_Service_PrintNightmare_Report.dat

Informe de importación.png

Resultado: Outbreak_Alerts_Service_PrintNightmare_Report.dat‘ se puede ejecutar en cualquier momento según lo determine un usuario administrador.
Artículos relacionados  cómo monitorear las horas de trabajo de los usuarios remotos de VPN

​🔎 Por último, felicitarte que hayas leído hasta abajo de esta publicación. Espero que haya sido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no logras dar con la solución a tu dilema escribe en la barra de arriba o escríbenos en la caja de comentarios.
¡Nos vemos!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *