FortiGate自動化(Automation)

作者: 發佈日期:

前言:

FortiGate可以使用Automation功能實現自動化程序,可依據發生的資安事件/自身狀況/排程執行各種自動化程序強化事件通報處理,以下由我來展示一些範例。

Automation三大要素

環境說明:

FortiOS版本:After 7.0

FortiGate設定:

預設內建Automation範例:

預設內建Action
預設內建Trigger
預設內建Stitch

Automation範例:

1.自動排程備份設定

新增Trigger,Schedule排程,可以需求調整時間
新增Action,備份設定指令說明

execute backup config ftp /Backup/backup-%%date%%.conf 172.16.4.221 testuser testpassword

execute backup config ftp <FTP路徑與設定檔名稱-使用變數加上日期> <FTP IP> <帳號> <密碼>

新增Stitch整合Trigger和Action

2.設定異動告警

新增Trigger,收集相關設定異動的event log
新增Action,設定Email通報機制
新增Stitch整合Trigger和Action

3.IPS事件自動ban ip

使用預設Trigger,收集相關IPS event log
新增Action,Bann IP指令說明

diagnose user banned-ip add src4 %%log.srcip%% indefinite admin

紅字標示是內建參數可抓取Event log內的來源IP參數

新增Stitch整合Trigger和Action,先發mail通後5秒執行Bann IP指令

4.SSL-VPN封鎖登入失敗IP

新增Action,指令說明

config firewall address
edit %%log.remip%%
set subnet %%log.remip%% 255.255.255.255
next
end
config firewall addrgrp
edit high risk country
append member %%log.remip%%
end

紅字標示是內建參數可抓取Event log內的來源IP參數

藍字標示的是預先設定好的位址物件已套用至Local policy中

新增Stitch整合Trigger和Action

原廠參考文件

作者: Andy

Andy目前在台灣最大的Fortinet代理商聯達資訊工作,熱愛IT技術與經驗分享,經營這個網站與大家一起學習成長