FortiAnalyzerNovedades de producto

FortiAnalyzer: cómo funcionan los indicadores de compromiso (IOC)

Los indicadores de compromiso (IOC – Indicators of Compromise) detectan clientes comprometidos (endpoints) al comparar las IPs, los dominios y las URLs visitadas con el paquete TIDB, que se descarga diariamente desde FortiGuard. Los hosts comprometidos se enumeran en FortiView en una tabla o mapa, y al profundizar (drill down) en un equipo comprometido se muestran los detalles de las amenazas detectadas. Algunas características de esta funcionalidad son:

    • El paquete TIDB contiene una lista negra compuesta por direcciones IP, dominios y URLs, y una lista de URL sospechosas (también llamadas Crowdsource URLs). Únicamente las URL sospechosas tienen una puntuación en el paquete TIDB. Una vez que se incluye una URL en la lista negra, ya no se realiza la calificación de puntuación sospechosa.
    • Una vez que FortiAnalyzer ha descargado un nuevo paquete TIDB, el paquete anterior se vuelve obsoleto.
    • Las estadísticas de lista negra por endpoint se actualizan casi en tiempo real (ASAP), y las estadísticas de comportamientos sospechosos (suspicious rating by endpoint) se actualizan de forma programada cada media hora.
    • La inspección de IOC se realiza en un ciclo diario, ya que el paquete actualizado de FortiGuard TIDB se recibe diariamente. El informe diario de IOC en los endpoints es fijo y no recibirá cambios adicionales; el día siguiente se creará un nuevo informe.
    • Actualmente, se inspeccionan mediante los IOC los logs del filtrado web de FortiGate, así como los logs de DNS y de tráfico.
    • El módulo IOC requiere una licencia; sin ella, únicamente se cargan en el FortiAnalyzer los paquetes de demostración TIDB, y no se utiliza ningún paquete actualizado de FortiGuard en la función IOC.
    • Cuando se detecta una amenaza, FortiAnalyzer envía una notificación a FortiGate a través de la API REST. El FortiGate puede configurarse para aplicar acciones automáticas contra las amenazas detectadas.
    • La detección de amenazas IOC se puede realizar tanto en tiempo real como en modo de reexploración. La detección en tiempo real controla los nuevos registros entrantes, mientras que el modo de reexploración compara los registros históricos con la nueva lista negra una vez que un paquete actualizado de TIDB está disponible. La detección en tiempo real siempre está habilitada, y la reexploración IOC se puede habilitar o inhabilitar.

Entendiendo la detección de listas sospechosas

La lista de sospechosos se publica diariamente desde la FortiGuard AI (inteligencia artificial) tras el análisis de millones de dispositivos de endpoint. La lista se compone de direcciones IP, URLs y dominios que tienen una baja reputación, generalmente porque son sitios web cuestionables.

El paquete TIDB incluye puntuación de clasificación de amenazas que FortiAnalyzer normaliza usando su lógica interna. Cuando un endpoint visita un sitio que coincide con uno incluido en la lista sospechosa, la puntuación se deposita en la “cuenta de reputación” para ese endpoint. La puntuación total normalizada se utiliza para determinar un veredicto para el endpoint; cuanto mayor sea la puntuación, mayor será la probabilidad de que el equipo esté comprometido.

Cuando un nuevo paquete TIDB está disponible, el proceso para determinar un veredicto comienza nuevamente. FortiAnalyzer procesa los registros de todos los endpoint monitorizados contra el nuevo TIDB, y determinará un veredicto para cada endpoint en función de su nueva puntuación normalizada.

Los endpoints que visitan sitios sospechosos con poca frecuencia tienen un bajo riesgo de compromiso, y no están incluidos en la lista de vigilancia de Compromised Host. El motor de IOC de FortiAnalyzer continúa monitorizando estos endpoint hasta que tiene la confianza suficiente para emitir un veredicto, momento en el que se les otorga el veredicto de Low Suspicious y se agregan a la lista de vigilancia.

Los endpoints que visitan regularmente sitios sospechosos tienen un mayor riesgo de infección o pueden estar infectados con malware de día cero. A estos endpoints se les asigna un veredicto y se agregan a la lista de observación de Compromised Host.

Los veredictos sospechosos incluyen:

    • High suspicious (alta probabilidad de que el equipo esté comprometido)
    • Medium suspicious (probabilidad media de que el equipo esté comprometido)
    • Low suspicious (baja probabilidad de que el equipo esté comprometido)

En el siguiente ejemplo, un endpoint visita varios sitios incluidos en la lista de sospechosos, y como resultado, su veredicto ha cambiado de Low suspicious a Medium suspicious (los datos incluidos en este ejemplo son puramente hipotéticos con fines ilustrativos):

El algoritmo específico utilizado para la decisión de cambiar el veredicto de un endpoint es interno a FortiAnalyzer.

Visualización de licencias IOC y descarga de paquetes TIDB

Para verificar la licencia descargada de FortiGuard en la CLI:

diagnose fmupdate dbcontract fds

FL-1KE3R16000271 [SERIAL_NO]
AccountID:
Industry:
Company:
Contract: 1
PBDS-1-99-20250104
Contract Raw Data:
Contract=PBDS-1-99-20250104:0:1:1:0
En la salida, PBDS es la licencia de IOC.

Para comprobar el paquete de IOC en la CLI:

diagnose fmupdate fds-getobject

FAZ object version information
ObjectId Description Version Size Created Date Time
—————————————————————————————————

00001000TIDB00100 ThreatIntel DB 00000.01052 34 MB 19/04/19 20:10 ext_desc:ThreatIntel DB
00001000TIDB00100 ThreatIntel DB 00000.01053 37 MB 19/04/19 04:13 <latest> ext_desc:ThreatIntel DB

FortiAnalyzer sincroniza periódicamente sus propios archivos IOC TIDB con la versión del paquete IOC descargado por fmupdate;
esto se realiza de forma programada cada hora.

Para comprobar la licencia y versión de la TIDB empleada por FortiAnalyzer en la CLI:

diagnose test application sqllogd 204 stats

License of post breach detection installed.
License expiration : 2025-Jan-04
TIDB version : 00000.01017-1902242107
TIDB load time : 2019-02-24 14:11:2

Configuración de la autenticación de la API REST de FortiGate a FortiAnalyzer

La autenticación de la API REST de FortiGate a FortiAnalyzer permite que FortiAnalyzer envíe alertas de IOC y active reglas de automatización configuradas, si están configuradas.

Para configurar la autenticación de la API REST:

    • Vaya al Administrador de dispositivos en FortiAnalyzer.
    • Edite el dispositivo FortiGate para configurar el nombre de usuario y la contraseña del súperadministrador de FortiGate. Esta es la única forma de configurar la autenticación de la API REST antes de 6.2.Alternativamente, al configurar el registro en FortiAnalyzer en FortiGate, puede ir a Security Fabric > Settings y habilitar Allow access to FortiGate REST API y Trust FortiAnalyzer by serial number.

Limitar las alertas de IOC

Para evitar inundar FortiGate con alertas de eventos, se puede configurar un limitador que permita que únicamente se envíe una alerta dentro de un período de tiempo establecido para el mismo endpoint. El período de tiempo predeterminado es un día (1440 minutos).

Para configurar un limitador de alerta IOC en el CLI:

config system log ioc
(ioc)# set
notification Disable/Enable Ioc notification.
notification-throttle Minute value for throttling the rate of IoC notifications.

(ioc)# get
notification : enable
notification-throttle: 1440

Depuración de notificaciones IOC

Para buscar en FortiGate las notificaciones de eventos de IOC enviados desde el FortiAnalyzer hay que buscar en los eventos de sistema aquellos del tipo “IOC detected by FortiAnalyzer”.

Si el evento del sistema no está presente, se debe revisar en el FortiAnalyzer el OFTP debug o en FortiGate el httpsd debug buscando ese mismo mensaje.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Te recomendamos

Close