AntQ tech
FortiSOAR Hands-on Lab Part 10 – 12
10 – 制定警報修復操作手冊
這是建立可封鎖網路中使用者IP位址與使用者名稱的操作手冊。
使用的連接器(Connector):
Fortinet FortiGate (用於封鎖IP地址)
Active Directory (用於封鎖使用者(User))
工作流程:
此操作手冊可在執行時,依據可疑使用者活動的警示,封鎖IP位址與使用者名稱。
本Playbook包含4個主要流程:
- Start用於啟動並配置Playbook模組,該模組可從系統中提取資料記錄。例如本次可於Alerts模組執行的Playbook。
- Set Input Data用於宣告將由封鎖器執行的輸入參數。此變數源自FortiSOAR中的Alerts模組。
- 批准修復操作(Approval Remediation Action)用於顯示通知列,以接收 SOC 對 IP 和使用者名稱封鎖的批准或拒絕操作。
- 是否批准(Is Approve)功能根據 SOC 提供的封鎖批准輸入,決定後續流程走向。
製作 Playbook 的方法(相當簡單,只需拖曳、即插即用):
- 建立新的Playbook Collection,或若已有類似集合則可跳過此步驟。
- 建立名為「Credential Theft Remediation」的新Playbook,如下圖所示。
- 此流程將設定使用「核准/Approval」處理Alerts/警示的「手動/Manual」步驟順序。
- 建立第一個路徑後,按下任一側的方向鍵並將其拖曳至目標方向,即可建立新路徑。
- 接著我們將宣告此操作中將使用的變數。選擇「Set Variable/設定變數」,然後依照圖片所示完成設定。
- 建立下一個流程,即「Approval/核准」。此步驟將顯示通知列,該通知列將於執行Playbook時出現。
Step Name: Approval Remediation Action
Description: To block the destination IP address on FortiGate & disable the stolen credential on Active Directory.
在此步驟中請先按下儲存。我們將在建立完成後返回設定「Response Mapping/回應映射」。
- 接下來我們將建立分支流程,用以選擇其中一條路徑(批准或拒絕)。
- 接下來設定IP位址與使用者名稱的封鎖流程。每項封鎖流程皆採用不同的連接器。請參閱圖示了解操作步驟。
向下滑動以設定更多進階配置。請使用先前在自訂變數選單標籤頁中宣告的 IP 位址變數填入 『dest_ip』 欄位。若要顯示 『When』 選單,請點擊 「+ Condition」 區域。and Save.
- 下一步是透過ActiveDirectory連接器設定「Username」封鎖。請在IP封鎖後建立新流程,請參照圖示操作。
- 同時建立相反的流程,即拒絕批准的情況。此流程透過「Utilities」→「Set No Operation」來實現。這意味著此步驟將不執行任何操作。
- 返回「Is Approved」決策步驟,並 + Add Condition -> Show Advanced
- Condition 1
- Default Condition/Step
- 最後一步是重新設定「Approval Remediation Action」步驟中的「Response Mapping」部分。
攻擊情境範例:
此執行手冊可針對涉及使用者及其IP位址的警示執行操作。我們可點擊其中一個警示,接著按下「Execute」按鈕,並選擇先前建立的執行手冊。
隨後將出現通知列,您即可立即嘗試每種狀態。
- Approve
- Reject
11 – 自訂事件摘要報告
此頁面用於建立FortiSOAR功能的相關報告。
概述
嘗試從FortiSOAR記錄的事件中建立一份報告。
我們可以根據FortiSOAR系統中「Incidents」表格所列的事件ID,檢視相應的報告結構。
接著,可將該ID輸入至報表選單中我們想要的範本。
靈活的報告自訂功能
我們也可以根據報告需求進行自訂設定。但請記住,必須始終從原始範本複製新版本。操作方式是選擇要複製的範本。點擊設定圖示並選擇「Clone Template」。
自訂功能可依據報表需求進行調整。例如,我將新增「Incident Correlations」小工具,操作方式為進入模板編輯選單,選擇目標位置後點擊「Add Widget」按鈕。您將發現多種報表自訂選項。
您可以透過依據事件ID關聯資料來調整設定。
此自訂功能極具彈性,您可依需求調整版面配置。設定完成後,請記得按下「Apply Changes」以儲存您的修改。
匯出事件報告摘要
我們可以根據事件ID匯出該事件的摘要。然後在頂部選單中,會出現「Export as PDF」按鈕。此報告系統亦可選擇使用的時間單位。例如:Asia/Taipei。
稍等片刻,報告將自動下載。
12 – FortiSIEM 與 FortiSOAR 的原生整合
- SOAR 中的角色與使用者驗證設定
要建立 FortiSIEM 可用於讀取、執行劇本及連接器的使用者,請依下列步驟操作:
- 點擊 FortiSOAR 圖形使用者介面右上角的設定圖示。
- 於左側工具列選擇「Roles」。
- 點擊「Add」。
- 為角色命名,例如「FortiSIEM-Role」。
- 在Set Role Permissions,請設定以下項目:
- 針對所有模組(使用者模組除外),設定為「Read Allow」。
- 將連接器設定為「Read + Execute」。
- 將操作手冊設定為「Read + Execute」。
- 點擊「Save」。
- 在左側工具列中選擇「Users」。
- 點擊「Add」。
- 設定以下項目:
- 填寫「First Name」與「Last Name」欄位,例如名字「FortiSIEM」、姓氏「User」。
- 於「User Type」選取「Vendor」。
- 輸入有效電子郵件地址,例如 yourname@yourdomain.tld。
- 選取您期望的團隊。
- 注意:除角色外,您必須將使用者指派至團隊,否則執行劇本的驗證將失敗。
- 在「選擇角色」欄位中,可選取「FortiSIEM-Role」以取得最低權限,或選擇所需角色。
- 在「Authentication」下,於「User Type」中選擇「Application Usage」。
- 在「Authentication」下,指定使用者名稱。請注意,此名稱可與顯示名稱不同:fortisiem-user。
- 點擊「Save」。系統將寄送電子郵件至您提供的信箱,用以變更密碼。
- 請妥善記錄新設定的密碼。
您將收到來自 FortiSOAR 的密碼重設電子郵件,內容如下:
將 https://uc-fsr 變更為 FortiSIEM 的 IP 位址/網域名稱
點擊連結重設已建立帳戶的密碼
- 安裝 FortiSIEM Essentials (連接器)
在 FSR 7.6.0 中,您可安裝「FortiSIEM Essential」解決方案套件,該套件將自動安裝 9 個 FortiSIEM 原生整合 Playbooks 至 03 – 強化 (FortiSIEM) 區塊。您無需手動匯入下列 JSON Playbooks,即使您手動安裝這些 JSON Playbooks,它們也無法與 FortiSIEM 正常運作。
- 在 FortiSIEM 資源上設定 Playbook 與 Connector
此時,您可以為 FortiSOAR 劇本和 FortiSOAR 連接器設定 FortiSIEM。
RESOURCES -> Connectors -> FortiSOAR Connectors -> Update -> Test ->Save
- 使用剛建立的 FortiSOAR 使用者(fortisiem-user)更新這些設定
- 執行帶有篩選器的分析 IP
對公共來源 IP、目的 IP 及 URI 幹進行分析時,該欄位不得為空值。
- 聲譽檢查(網址、IP、雜湊值、網域)
