Descripción
Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividad que puede estar relacionada con el software de puerta trasera «Sunburst» en un sistema de actualización de software de administración y monitoreo de TI Orion de SolarWind comprometido.
Para obtener más información sobre este truco, consulte la publicación del blog de Fortinet:
Lo que hemos aprendido hasta ahora sobre el “Sunburst”/SolarWinds Hack | Laboratorios FortiGuard
Lo que se incluye en Solarwinds.zip:
1. Informe normalizado de SolarWinds
Un informe histórico para mostrar conexiones CnC por lista actualizada de hashes de archivos, direcciones IP CnC y dominios publicados por FortiGuard para el ataque a la cadena de suministro en SolarWinds.
2. Fortinet_SOC-Compromised_Host_Detection_SolarWinds
Un controlador de eventos para desencadenar detecciones de hosts comprometidos en función de filtros configurados para firmas vistas en registros AV e IPS, y también hash de archivos, IP, URL y dominios vistos en registros de tráfico, filtro web y DNS.
Consulte la sección Solución para obtener instrucciones sobre cómo cargarlos en una unidad FortiAnalyzer.
Alcance
El informe personalizado proporcionado debe importarse a Fabric ADOM en un FortiAnalyzer que ejecute FortiAnalyzer 6.4.4
El controlador de eventos personalizado proporcionado se puede usar en FortiAnalyzer 6.2 y FortiAnalyzer 6.4.
Solución
Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1. descargue el archivo Solarwinds.zip (contiene 2 archivos)
2. descomprimir Solarwinds.zip
3. Utilice SolarWinds Normalized Report.dat para importar en Informes
una. elija un Fabric ADOM (si los ADOM están habilitados)
b. elija el módulo Informe
C. seleccione la opción Importar en «Más»
d. seleccione SolarWinds Normalized Report.dat
Resultado: «SolarWinds Normalized Report» ahora es un informe que se puede ejecutar en un momento determinado por un usuario administrador.
4. Use Fortinet_SOC-Compromised_Host_Detection_SolarWinds.json para importar a los controladores de eventos
una. elija un ADOM (si los ADOM están habilitados)
b. eligió el módulo FortiSOC
C. seleccione Lista de controladores de eventos
d. seleccione la opción Importar en «Más»
mi. seleccione Fortinet_SOC-Compromised_Host_Detection_SolarWinds.json
Resultado: Fortinet_SOC-Compromised_Host_Detection_SolarWinds está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos
Cómo usar FortiSIEM para detectar un «Sunburst»/SolarWinds Hack