Cloudfence - Reputação de IPs em firewalls Fortinet
Diariamente em nosso SOC, tratamos inúmeros eventos provenientes de milhares de ativos monitorados em nossos clientes. Como parte deste trabalho, nossa equipe investiga as origens de possíveis ataques e ao confirmar que se trata de um endereço IP com ações nocivas, este é categorizado em nossa base de reputação. Todo esse processo conta com a automação e tratamento através da plataforma Wazuh.
Esta base era exclusiva aos clientes da plataforma de firewall gerenciado OPNsense, o que deixava os clientes que utilizam outras plataformas sem este valioso recurso. Porém, a partir de agora a Cloudfence disponibilizará aos clientes de SOC as a Service mais este recurso para reforçar ainda mais os mecanismos de defesa de seus ambientes de rede e
Como funciona?
Ao ser classificado como nocivo, nosso SOC adiciona o endereço de IP em nossa base de reputação para que seja consultada pelos firewalls que irão bloqueá-los.
É importante salientar que nossa base de reputação é revisada constantemente e há um minucioso trabalho de curadoria para evitar falsos positivos. Além disso, nossa base muitas vezes tem endereços de redes consideradas como confiáveis (grandes provedores de nuvens públicas por ex.) por diversas fontes especializadas de reputação de IPs, porém como nosso trabalho é focado no tratamento de eventos ocorridos em nossos clientes, especialmente nos territórios em que atuamos (Europa e América Latina), isto nos confere uma alta eficácia de bloqueios, por utilizarmos uma base própria especializada, especialmente em regiões geográficas.
Configuração no Fortigate
A configuração no firewall Fortinet é bastante simples, como pode-se ver abaixo:
Já logado como administrador na console Web do Fortigate, acesse:
Fortigate Web Console - Security Fabric: External Connectors
1. Crie um novo conector externo através do menu Security Fabric > External Connectors > botão (+) Create New
Fortigate Web Console - Security Fabric: External Connectors
2. Selecione a opção IP address em Threat Feeds
Fortigate Web Console - Security Fabric: External Connectors: Threat Feeds
3. Preencha o campo Name e em URI of external resource insira o endereço fornecido pelo SOC Cloudfence
Fortigate Web Console - Security Fabric: External Connectors
4. Depois de adicionado, deverá aparecer o nome conector configurado conforme imagem acima.
Agora é possível criar uma regra de firewall para bloqueio destas origens em seu Fortigate.
Conclusão
Após a configuração, os alertas gerados em seu ambiente e que forem bloqueados pelo nosso SOC serão também bloqueados em seus firewalls Fortigate.