Trong ví dụ này, bạn sẽ thêm một thiết bị FortiSandbox vào trong mô hình Fortinet Security Fabric và cấu hình để mỗi thiết bị Fortigate có thể gửi các file khả nghi tới FortiSandbox để kiểm tra. Thiết bị FortiSandbox sẽ quét và kiểm tra tất cả những file này trong môi trường cách ly với mạng của bạn.

Ví dụ này sử dụng cấu hình Security Fabric được tạo trong mô hình Fortinet Security Fabric. 

Thiết bị FortiSandbox kết nối với thiết bị root Fortigate (Edge) trong mô hình Security Fabric. Có 2 kết nối giữa hai thiết bị :

  • Port 1 (administration port) trên FortiSandbox  kết nối với port 16 của Edge.
  • Port 3 (VM outgoing port) trên FortiSandbox kết nối với port 13 của Edge.

Bạn cũng có thể sử dụng 1 đường Internet riêng biệt ở port 3 của FortiSandbox thay vì kết nối qua Edge để sử dụng internet. Cấu hình này tránh cho việc các địa chỉ IP public được ISP cung cấp cho đường Internet chính của bạn bị liệt kê vào blacklist nếu các phần mềm độc hại thử nghiệm trên FortiSandbox tạo ra một cuộc tấn công. Khi sử dụng cấu hình này, bạn có thể bỏ qua bước liệt kê cho port 3 FortiSandbox.


1. Kiểm tra kết quả Security Rating:

Trên Edge vào Security Fabric > Security Rating.

Vì FortiSandbox chưa được cài đặt vào mạng của bạn nên Security Fabric sẽ không kiểm tra Advanced Threat Protection.

Trong ví dụ này, Security Rating Score đã giảm 30 điểm cho từng thiết bị Fortigate có trong mô hình Security Fabric


2. Kết nối FortiSandbox:


Trên thiết bị FortiSandbox:

Cấu hình Port 1 (port này được sử dụng để kết nối FortiSandbox với phần còn lại của mô hình Security Fabric);

  • Vào Network > Interfaces.
  • Mục IP Address/Netmask: Cài đặt địa chỉ IP internal. Trong ví dụ này, FortiSandbox kết nối cùng 1 subnet với FortiAnalyzer mà bạn đã cài đặt trước đó (Trong ví dụ này sử dụng địa chỉ IP: 192.168.65.20/255.255.255.0)

Cấu hình Port 3 (port này được sử dụng cho kết nối ra ngoài bởi máy ảo (VMs) đang chạy trên FortSandbox. Bạn nên kết nối port này tới interface chuyên dụng trên thiết bị Fortigate để bảo vệ phần còn lại của mạng khỏi các mối đe doạ mà FortiSandbox hiện đang kiểm tra):

  • Mục IP Address/Netmask: Là địa chỉ IP internal (Trong ví dụ này sử dụng địa chỉ IP: 192.168.179.10/255.255.255.0)
  • Tạo thêm static route:
    • Vào Network > System Routing.
    • Mục Gateway: đặt địa chỉ IP của port 1 của Fortigate (Trong ví dụ này: 192.168.65.2)

Trên thiết bị Edge:

Cấu hình Port 13 (port kết nối tới port 3 trên FortiSandbox):

  • Vào Network > Interfaces.
  • Mục IP/Network Mask: đặt địa chỉ IP cùng subnet với port 3 trên FortiSandbox (Trong ví dụ này: 192.168.179.2/255.255.255.0)

 

3. Cho phép VM Internet access:

Trên thiết bị Edge:

Tạo 1 policy cho phép kết nối từ FortiSandbox ra Internet:

Vào Policy & Objects > IPv4 Policy. Incoming InterfaceChọn Port 13. Outgoing Interface: Port 9 (port kết nối internet). Source, Destination, Service: All. Action: Chọn Accept. Bật NAT


Trên thiết bị FortiSandbox:

Vào Scan Policy > General và chọn Allow Virtual Machines to access external network through outgoing port3. (Cho phép máy ảo truy cập internet thông qua port 3). Mục Gateway: Chọn IP của Port 13 trên Edge.

Vào trang Dashboard và chọn tiện ích System Information. Kiểm tra nếu tính năng VM Internet access đã có dấu tick màu xanh bên cạnh là đã hoạt động.

 


4. Thêm FortiSandbox vào mô hình Security Fabric:

Trên thiết bị Edge:

Vào Security Fabric > Settings. Và tick bật Sandbox Inspection.

Đảm bảo FortiSandbox Appliance đã được chọn. Và Server: đặt IP của port 1 trên FortiSandbox.

Chọn Test connectivity, một thông báo lỗi sẽ xuất hiện như hình dưới bởi vì Edge chưa được uỷ quyền trên FortiSandbox.

Edge với vai trò là root Fortigate trong mạng sẽ đẩy các cài đặt FortiSandbox đến các thiết bị FortiGate khác trong mô hình Security Fabric. 

Để làm được điều này, truy cập vào Firewall Accounting và vào Security Fabric > Settings.


Trên thiết bị FortiSandbox:

Vào Scan Input > Device. Ta thấy các thiết bị FortiGate trong mô hình Security Fabric đã được liệt kê, nhưng cột Auth hiển thị các thiết bị chưa được uỷ quyền.



Chọn và cấu hình Edge. Trong mục Permissions & Policies, và chọn Authorized 


Lập lại bước trên với các thiết bị FortiGate còn lại.

Trên thiết bị Edge:

Vào Security Fabric > Settings, trong mục Sandbox Inspection tick chọn Test connectivity test lại kết nối. Lúc này, thông báo đã kết nối tới FortiSandbox


5. Thêm Kiểm tra Sandbox vào hồ sơ Antivirus, Web Filter, FortiClient.

Bạn có thể thêm Kiểm tra Sandbox với ba kiểu kiểm tra bảo mật: Antivirus, Web Filter, FortiClient. 

Trong bước này, bạn thêm Sandbox vào tất cả các thiết bị FortiGate trong mô hình Security Fabric.


Để vượt qua kiểm tra Advanced Threat Protection, bạn phải thêm Kiểm tra Sandbox vào hồ sơ Antivirus cho tất cả các thiết bị FortiGate trong mô hình Security Fabric.

Vào Security Profiles >AntiVirus và chỉnh sửa hồ sơ mặc định.

Trong tuỳ chọn Inspection Options, đặt trong mục Send Files to FortiSandbox Appliance for Inspection :chọn All Supported Files.

Tick bật Use FortiSandbox Database, để nếu FortiSandbox phát hiện ra một mối đe dọa, nó sẽ thêm chữ ký cho tệp đó vào cơ sở dữ liệu chữ ký antivirus trên FortiGate

Vào Security Profiles >Web Filter và chỉnh sửa hồ sơ mặc định.

Trong mục Static URL Filter, tick bật Block malicious URLs discovered by FortiSandbox. Khi bật tính năng này thì nếu FortiSandbox phát hiện một URL mang theo mối đe doạ, URL đó sẽ bị FortiGate chặn lại

 


Vào Security Profiles >FortiClient Compliance Profiles và chỉnh sửa hồ sơ mặc định. Tick bật Security Posture Check, sau đó tick bật Realtime Protection Scan with FortiSandbox.



6. Kết quả:

Nếu một FortiGate trong Security Fabric phát hiện ra một tệp đáng ngờ, nó sẽ gửi tệp đến FortiSandbox.

Bạn có thể xem thông tin về các tệp được quét trên thiết bị FortiGate đã gửi tệp hoặc trên FortiSandbox.

Trên một trong các thiết bị FortiGate, vào Dashboard và chọn tiện ích Advanced Threat Protection Statistics. Tiện ích hiển thị các tệp mà cả FortiGate và FortiSandbox đã quét.


Trên FortiSandbox, vào System > Status và xem tiện ích Scanning Statistics tóm tắt các tệp đã được quét.

Bạn cũng có thể xem tiến trình quét trong tiện ích File Scanning Activity

Trên Edge, vào Security Fabric > Security Rating và chạy một xếp hạng. Sau khi kết thúc, chọn All Results để xem tất cả kết quả.

Trong ví dụ này, cả 4 thiết bị FortiGate trong mô hình Security đều thông qua kiểm tra Advanced Threat Protection Security Rating Score và được cộng thêm 9.7 điểm cho mỗi FortiGate.