Bài này sẽ hướng dẫn bạn cấu hình Automation stitches đối với Fortinet Security Fabric, nó sẽ cho phép bạn giám sát mạng và có những hành động phù hợp khi Security Fabric phát hiện ra những mối nguy hại. Bạn cũng có thể sử dụng Automation stitches để phát hiện các event từ source trên Security Fabric và thêm hành động với các địa chỉ đích.
Ở ví dụ này, bạn sẽ tạo ra Automation stitches như sau:
- Cấm 1 địa chỉ IP gây nguy hại.
- Gửi 1 mail cảnh báo khi xảy ra tình trạng failover đối với HA.
Trong bài này, Security Fabric là từ các nhánh HA làm root FortiGate của Security Fabric, và 3 thiết bị FortiGate (Accounting, Marketing, và Sales). Bạn cấu hình Automation stitches trên root FortiGate và đồng bộ hóa với những thiết bị FortiGate khác trong Security Fabric.
1. Tạo Automation stitches
Để tạo 1 Automation mới, cấm các địa chỉ IP từ các host gây nguy hại, vào Security Fabric > Automation.
- Đặt FortiGate là All FortiGates.
- Trigger là Compromised Host. Đặt IOC level threshold là high
- Action là IP Ban
Tạo Automation thứ 2 là gửi email cảnh báo khi xảy ra HA failover
- Đặt FortiGate là Edge-Primary, là 1 phần của nhánh HA trong Security Fabric.
- Trigger là HA Failover. Action là Email.
- Đặt Email subject và các địa chỉ mail để gửi cảnh báo đến.
2. Kiểm tra Automation stitches
Nếu phiên bản FortiOS của bạn từ 6.0.2 trở lện, để kiểm tra Automation stitches: Vào Security Fabric > Automation, click chuột phải vào Automation và chọn Test Automation Stitch
Nếu phiên bản FortiOS của bạn là 6.0.0 hoặc 6.0.1 để kiểm tra Automation stitches:
Thay vì kiểm tra tự động việc block những host ngây nguy hại, những bước sau đây giúp mô phỏng việc block địa chỉ IP trên mạng bằng tay.
Vào Security Fabric > Physical Topology và xác định 1 PC trên mạng. click chuột phải PC đó và chọn Ban IP
Đặt Ban Type là Temporary. Duration là 30 minutes.
Kiểm tra tự động cho HA failover, vào Edge-Primary. ở menu quản trị, chọn System > Reboot.
Chọn Event log message
3. Results
Những thiết bị bị cấm sẽ không truy cập được internet.
Khi HA failover xảy ra, những mail tương tự như email dưới đây sẽ được gửi tới email mà bạn đã cấu hình trong Automation.
