Cómo usar FortiAnalyzer para detectar un «Sunburst»/SolarWinds Hack

Buenas ​🙌, me llamo Mila Jiménez y vengo a contaros: 👇​ Cómo usar FortiAnalyzer para detectar un «Sunburst»/SolarWinds Hack

Descripción

Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar actividad que puede estar relacionada con el software de puerta trasera «Sunburst» en un sistema de actualización de software de administración y monitoreo de TI Orion de SolarWind comprometido.

Para obtener más información sobre este truco, consulte la publicación del blog de Fortinet:


Lo que hemos aprendido hasta ahora sobre el “Sunburst”/SolarWinds Hack | Laboratorios FortiGuard

Lo que se incluye en Solarwinds.zip:
1. Informe normalizado de SolarWinds
Un informe histórico para mostrar conexiones CnC por lista actualizada de hashes de archivos, direcciones IP CnC y dominios publicados por FortiGuard para el ataque a la cadena de suministro en SolarWinds.

2. Fortinet_SOC-Compromised_Host_Detection_SolarWinds
Un controlador de eventos para desencadenar detecciones de hosts comprometidos en función de filtros configurados para firmas vistas en registros AV e IPS, y también hash de archivos, IP, URL y dominios vistos en registros de tráfico, filtro web y DNS.

Consulte la sección Solución para obtener instrucciones sobre cómo cargarlos en una unidad FortiAnalyzer.

Alcance

El informe personalizado proporcionado debe importarse a Fabric ADOM en un FortiAnalyzer que ejecute FortiAnalyzer 6.4.4
El controlador de eventos personalizado proporcionado se puede usar en FortiAnalyzer 6.2 y FortiAnalyzer 6.4.

Solución

Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1. descargue el archivo Solarwinds.zip (contiene 2 archivos)
2. descomprimir Solarwinds.zip
3. Utilice SolarWinds Normalized Report.dat para importar en Informes
una. elija un Fabric ADOM (si los ADOM están habilitados)
b. elija el módulo Informe
C. seleccione la opción Importar en «Más»
d. seleccione SolarWinds Normalized Report.dat

Resultado: «SolarWinds Normalized Report» ahora es un informe que se puede ejecutar en un momento determinado por un usuario administrador.
4. Use Fortinet_SOC-Compromised_Host_Detection_SolarWinds.json para importar a los controladores de eventos
una. elija un ADOM (si los ADOM están habilitados)
b. eligió el módulo FortiSOC
C. seleccione Lista de controladores de eventos
d. seleccione la opción Importar en «Más»
mi. seleccione Fortinet_SOC-Compromised_Host_Detection_SolarWinds.json
Resultado: Fortinet_SOC-Compromised_Host_Detection_SolarWinds está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos

Cómo usar FortiSIEM para detectar un «Sunburst»/SolarWinds Hack

Artículos relacionados  cómo generar un informe de muestreo de datos

​🔎 Para terminar, felicitarte por haber leído hasta el final de esta publicación. Esperamos que haya sido para solucionar tus problemas y que te veamos por aquí de nuevo.
Si no logras dar con la solución a tu duda utiliza el buscador o contacta con nosotros en los comentarios.
¡Hasta luego!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *