Descripción
Este artículo describe por qué FortiAnalyzer compromete el host que muestra el método de detección como dominio infectado.
Solución
El COI utiliza la base de datos de información de amenazas.
Así es como funciona el COI:
A medida que ingresan los registros de WF, el motor de detección de infracciones analiza los registros y clasifica el tráfico web de «aspecto normal» en dos categorías principales (según la información del paquete TDS):
Infectado: incumplimiento real.
‘Se ha encontrado una coincidencia o coincidencias de los dominios IP/DGA en la lista negra, etc., en los registros web’.
La idea general de IOC es identificar dominios de amenazas potenciales que no están identificados por el servicio de filtrado web FortiGate.
El motor IOC monitorea cada URL/IP que este host ha visitado durante un período de tiempo y analiza continuamente el patrón de comportamiento utilizando su algoritmo interno para determinar si el host está comprometido.
IOC requiere una licencia de detección de amenazas por separado.
La diferencia entre la versión de demostración y la de pago, y posiblemente la razón del «veredicto» que podría dar resultados «obsoletos».
El modo de demostración IOC: utiliza el paquete de amenazas predeterminado que viene con la versión de firmware.
El paquete predeterminado NO está actualizado.
El IOC con licencia utiliza un paquete de amenazas nuevo (descargado diariamente) de FortiGuard y produce una detección muy precisa.
Cómo comprobar que el dominio está infectado según la base de datos TIDB:
Si el endpoint intenta acceder a una URL que pertenece a un dominio infectado, se mostrará como dominio infectado con logtype:webfilter.
Ejemplo: Endpoint (USUARIO DE LAN) intenta acceder a la URL www.m-3.co.za.
FortiGate envía registros a FortiAnalyzer y luego los registros correspondientes en FortiAnalyzer bajo hosts comprometidos como se muestra a continuación:
use puntos de automatización de FortiGate para correos electrónicos de alerta