Hola amig@s 👋, para los que nos os acordéis de mí soy César Sánchez y hoy vamos a aprender sobre: ⬇️ uso de FortiAnalyzer para detectar actividades relacionadas con los exploits de la vulnerabilidad Apache Log4j2
Descripción
Este artículo describe cómo usar un controlador de eventos personalizado y un informe en FortiAnalyzer para detectar intentos de ataque para explotar una vulnerabilidad de ejecución remota de código en Apache Log4j2. La vulnerabilidad se asigna CVE-2021-44228.
Para obtener más información sobre este ataque, consulte la siguiente Alerta de brote de FortiGuard
Alerta de brote de FortiGuard: vulnerabilidad Log4j2
¿Qué se incluye en Fortinet_SOC-Log4j2-Detection-v3.zip?
1. log4j2_controlador de eventos.json
Este controlador de eventos ayuda a identificar los intentos de explotación detectados por la detección de control de aplicaciones, IPS y AV de FortiGate, así como por el firewall de aplicaciones de FortiClient. Los registros que activan el controlador de eventos se generan desde FortiGate y FortiClient. Por lo tanto, sus firmas AV e IPS correspondientes deben mantenerse actualizadas para prevenir y registrar las vulnerabilidades.
2. log4j2_informe.dat
Un informe para resumir los hallazgos sobre los intentos de ataque encontrados en los registros de FortiGate y FortiClient.
3.fgt_log4j2_event-handler.json
El controlador de eventos para ADOM de FortiGate.
4. fgt_log4j2_report.dat
El informe de ADOM de FortiGate.
Alcance
El controlador de eventos y el informe personalizados proporcionados se pueden usar en FortiAnalyzer 6.4+.
Solución
Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 6.4.4.
1) Descargue el archivo Fortinet_SOC-Log4j2-Detection-v3.zip (contiene 4 archivos)
2) Descomprima Fortinet_SOC-Log4j2-Detection-v3.zip
3) Use log4j2_event-handler.json o fgt_log4j2_event-handler.json para importar a los controladores de eventos
– Elija un ADOM (si los ADOM están habilitados). ADOM puede ser del tipo Tela o FortiGate.
– Elija el módulo FortiSOC
– Seleccione la lista de controladores de eventos
– Seleccione la opción Importar en «Más»
– Seleccione log4j2_event-handler.json para Fabric ADOM o fgt_log4j2_event-handler.json para FortiGate ADOM.
Resultado:
El controlador de eventos está habilitado y se activará si se reciben los registros apropiados después de importar el controlador de eventos.
4) Utilice log4j2_report.dat o fgt_log4j2_report.dat para importar en Informes
– Elija un ADOM (si los ADOM están habilitados). ADOM puede ser del tipo Tela o FortiGate.
– Elija el módulo Informe
– Seleccione la opción Importar en «Más»
– Seleccione log4j2_report.dat para Fabric ADOM o fgt_log4j2_report.dat para FortiGate ADOM.
Resultado:
‘Log4j2_Vulnerability_report’ se puede ejecutar en cualquier momento según lo determine un usuario administrador.
El error «no coincide el tipo de adom» al cargar «Log4j2 Report.dat» significa que no está cargando el informe en un ADOM de tipo Fabric como se menciona en el paso 4).
https://docs.fortinet.com/document/fortianalyzer/6.4.7/administration-guide/718923/root-adom
➡️ Para terminar, felicitarte por haber leído hasta abajo de este artículo. Espero que haya servido de ayuda y que nos guardes en tus favoritos.
Si no puedes llegar a la solución a tu pregunta escribe en la barra de búsqueda o déjanos tu pregunta en los comentarios.
¡Hasta luego!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!