cómo FortiSandbox puede protegerse del ataque de ransomware en la cadena de suministro de Kaseya VSA

Hola amig@s 👋, soy César Sánchez y hoy os voy a ayudar con: ⏬ cómo FortiSandbox puede protegerse del ataque de ransomware en la cadena de suministro de Kaseya VSA

Descripción

Este artículo describe cómo usar FortiSandbox y FortiClient para escanear y detectar un comportamiento similar al ransomware en muestras de archivos de malware infectados con ransomware utilizados en el ataque Kaseya VSA.

Para obtener más información sobre el ataque de ransomware Kaseya VSA Supply-Chain, consulte la siguiente descripción de FortiGuard Threat Signal:

Alcance

Las configuraciones implican tres productos:

    • FortiClient EMS
    • FortiCliente
    • FortiSandbox

Los endpoints de FortiClient administrados por FortiClient EMS están protegidos mediante el reenvío de archivos de alto riesgo a FortiSandbox para el análisis de comportamiento. Si el veredicto es de alto riesgo, el archivo se pone en cuarentena y no se ejecutará.

Solución

A continuación, se describen las configuraciones en FortiClient EMS relacionadas con Sandboxing. Para estar protegidos, los endpoints de FortiClient deben tener habilitada la detección de Sandbox. Cuando el endpoint de FortiClient es administrado por FortiClient EMS, debe estar registrado y tener su perfil de endpoint sincronizado con el servidor FortiClient EMS.

Para configurar la detección de Sandbox en FortiClient EMS:

    1. Vaya a Perfiles de terminales > Administrar perfiles y cree un nuevo perfil. Alternativamente, edite un perfil existente.
    2. Vaya a la pestaña Sandbox. Habilite la detección de Sandbox.
    3. La detección de Sandbox se puede realizar mediante FortiSandbox Appliance o FortiClient Cloud Sandbox. Seleccione la opción que corresponda.
    4. Para el modo de inspección, seleccione Archivos de alto riesgo.
    5. Habilite la opción «Esperar los resultados de FortiSandbox antes de permitir el acceso a archivos». Esta opción garantiza que se complete el análisis y se proporcione un veredicto antes de que se pueda ejecutar el archivo.
    6. En Acción de remediación, se recomienda establecer la Acción en Cuarentena.
    7. guardar el perfil
Artículos relacionados  Cómo excluir endpoints de la administración

Ejemplo de perfil de endpoint con el dispositivo FortiSandbox:

FCT-EndpointProfile-SandboxAppliance.png

Ejemplo de perfil de endpoint usando FortiClient Cloud Sandbox:

FCT-EndpointProfile-SandboxCloud.png

Para ver los resultados de la detección en FortiSandbox:

    1. En FortiSandbox, vaya a Registro e informe > Exploración de archivos.
    2. Localice el trabajo de detección asociado con el archivo malicioso.
    3. En la columna Acción, haga clic en el icono emergente para abrir el informe detallado en una nueva ventana. Para mayor comodidad, haga clic en el botón de descarga en la parte superior derecha para guardar una copia del informe.
    4. El informe proporciona detalles del trabajo de escaneo, incluido un resumen de indicadores.
    5. El resumen del indicador identificará «Se detectaron comportamientos similares al ransomware»
    6. Además, los detalles del indicador sospechoso indicarán la clasificación del archivo infectado.
FSA-Report-IndicatorSummary.png

​✅ Para terminar, agradecerte que hayas llegado hasta el final de este artículo. Esperamos que haya sido para solucionar tus problemas y que te veamos por aquí de nuevo.
Si no consigues encontrar solución a tu duda utiliza el buscador o escríbenos en la caja de comentarios.
¡Nos vemos!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *