Cómo solucionar problemas con el recolector de depuración de Indicadores de Compromiso en Fortinet usando scripts automáticos

Este artículo aborda el proceso de recolección de indicadores de compromiso (IoC) utilizando scripts automáticos en un dispositivo FortiGate. Este es un problema crítico, ya que la integridad de los sistemas de seguridad puede verse afectada por compromisos desconocidos en el sistema de archivos. A través de este artículo, aprenderás cómo diagnosticar y resolver posibles problemas de seguridad en tu dispositivo FortiGate.

Descripción del problema

Este artículo describe cómo recolectar los indicadores de compromiso (IoC) mediante la depuración en un FortiGate (tanto en VDOM como en no-VDOM) usando scripts automáticos. El script agrega una lista de depuraciones, estructuras de archivos y hashes para identificar la presencia de artefactos desconocidos en el sistema de archivos.

Alcance

FortiGate (VM/físico) v7.0.x, v7.2.x, v7.4.x, v7.6.x.

Diagnóstico paso a paso

Si hay sospechas de que FortiGate puede estar comprometido, sigue los siguientes pasos para recopilar información y abrir un nuevo ticket con el equipo de soporte técnico. Una vez que se adjunte la salida al ticket, un ingeniero confirmará si se encuentra algún indicio de compromiso o no.

La siguiente información es necesaria para una evaluación completa:

1. Salida de depuración de integridad del sistema de archivos de FortiGate (obligatorio) generada por el script.
2. Salida de depuración de integridad SHA1 HASH de FortiGate (obligatorio) generada por el script.
3. Copia de la configuración en ejecución del FortiGate.
4. Copia del ‘Registro de Depuración’ de la unidad.
5. Copia de los Registros de Evento del Sistema para la unidad afectada.

Solución recomendada

Antes de recolectar las depuraciones automatizadas, Métodos A y B:

1. Habilitar SSH en el FortiGate, y cada unidad deberá ser accedida por separado y verificar el puerto en ejecución.
2. Preparar PowerShell para ejecutar el script:
   • Verificar que el nivel de ejecución sea ‘Sin restricciones’ ejecutando Get-ExecutionPolicy.
   • Establecer el nivel de ejecución a ‘Sin restricciones’ ejecutando Set-ExecutionPolicy Unrestricted y confirmando con ‘Y’.

   Nota: Para instalar el módulo, se requiere una conexión a Internet. El cambio del nivel de ejecución en PowerShell debe ser realizado como Administrador.

Comandos CLI utilizados

Método A: prompt interactivo.

1. Recolección: Salida de depuración de integridad del sistema de FortiGate.
   • El script está diseñado para ejecutarse desde Windows PowerShell. Para ejecutar, utiliza el siguiente comando:
     .\\FGT-SysIntegrity_Debug.ps1
2. Recolección: Salida de depuración SHA1 HASH de FortiGate.
   • Ejecuta el siguiente comando:
     .\\FGT-Hash_Debug.ps1

Método B: parámetros predefinidos.

Antes de ejecutar, el script debe ser ejecutado desde Windows PowerShell con parámetros predefinidos. Por ejemplo:

.\\FGT-SysIntegrity_Debugv2.0.ps1 -ip "10.191.19.172" -port 22 -username "admin" -password "fortinet" -vdom "0" -ha "0"

Buenas prácticas y recomendaciones

• Para un entorno HA, el Método A debe ser ejecutado de manera independiente en cada unidad/miembro.
• No modificar el script o la salida del log.
• Si el método del script no es viable, sigue las instrucciones de la Nota Técnica relevante para la ejecución de comandos manuales.

Notas adicionales

• Este script puede ser utilizado sin conexión a Internet, exceptuando la habilitación de los módulos de PowerShell necesarios.
• El script no recopila información sensible, solo la salida de depuración de FortiGate para propósitos de IoC.
• Se recomienda verificar el contenido del script con cualquier editor de texto para una evaluación de seguridad interna.

Estos pasos y procedimientos te ayudarán a asegurar que tu dispositivo FortiGate funcione de manera efectiva y esté protegido contra compromisos de seguridad.