Using FortiGate External Threat List Sources

KAAN ÖZDERE 28 Aralık

FortiGate Harici Tehdit Listesi Kaynaklarını Kullanma


FortiGuard, siber tehditlerle mücadelede öne çıkan bir hizmet olarak, Phishing siteleri, Spam göndericiler, Botnet'ler, kötü niyetli ajanlar ve Kötü Amaçlı Yazılım (Malware) Hash'leri gibi çeşitli tehditlere dair kapsamlı bir veritabanı sunar. Bu veritabanı, Firewall Policy, Antivirus, DNS Filter gibi FortiGate üzerindeki birçok güvenlik politikasında aktif olarak kullanılır ve sürekli güncellenir.

Ancak FortiGate’in gücü yalnızca FortiGuard ile sınırlı değildir. FortiGate, diğer güvenlik şirketleri tarafından oluşturulan ve sürekli güncellenen harici tehdit veritabanlarını da entegre ederek tehdit yönetiminde önemli bir avantaj sağlar. 



Bu Özelliği Nasıl Kullanabilirsiniz?

Security Fabric > External Connectors bölümüne gidin.
Bu alanda, Threat Feeds türünde bir External Connector oluşturun. Harici tehdit listesi şu türden bir veri içeriyorsa, aşağıdaki seçenekleri kullanabilirsiniz:

URL listesi: FortiGuard Category seçeneğini kullanın.
IP Adresleri listesi: IP Address seçeneğini kullanın.
Domain listesi: Domain Name seçeneğini kullanın.
Malware Hash listesi: Malware Hash seçeneğini kullanın.

Malware Hash Yapılandırma Örneği

Malware Hash seçeneğini belirleyin ve ilgili bağlantıyı kullanarak yapılandırmayı gerçekleştirin.
Örneğin, Abuse.ch tarafından sunulan ve malware hash bilgilerini içeren şu bağlantıyı kullanabilirsiniz:

https://bazaar.abuse.ch/export/txt/sha256/recent/

Bağlantıyı yapılandırdıktan sonra, OK butonuna tıklayarak işlemi tamamlayın.




Sonraki adımda Firewall > Security Profiles > Antivirus menüsüne gidin.
Açılan ekranda, varsayılan gelen politikayı düzenlemek için Edit seçeneğine tıklayın. (Dilerseniz yeni bir politika da oluşturabilirsiniz.)
Düzenleme ekranında, Use external malware block list seçeneğini aktif edin.

OK butonuna tıklayarak işlemi tamamlayın.




Bu adımları tamamladığınızda, eklediğiniz malware connector otomatik olarak tanınacaktır ve harici tehdit listesi, FortiGate tarafından aktif bir şekilde kullanılacaktır.


Aşağıda, kullanabileceğiniz bazı ünlü harici tehdit listeleri bulunmaktadır:

Malware Hash List:

https://bazaar.abuse.ch/export/txt/sha256/recent/

https://virusshare.com/hashes


IP, Domain, URL List:

https://usom.gov.tr/url.list.txt

https://gist.githubusercontent.com/BBcan177/bf29d47ea04391cb3eb0/raw/

https://lists.blocklist.de/lists/all.txt

http://danger.rulez.sk/projects/bruteforceblocker/blist.php

https://opendbl.net/lists/bruteforce.list

http://cinsscore.com/list/ci-badguys.txt

https://zerodot1.gitlab.io/CoinBlockerLists/list.txt

https://rules.emergingthreats.net/blockrules/compromised-ips.txt

https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

http://www.darklist.de/raw.php

https://opendbl.net/lists/dshield.list

https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt

http://blocklist.greensnow.co/greensnow.txt

https://raw.githubusercontent.com/LinuxTracker/Blocklists/master/HancitorIPs.txt

https://opendbl.net/lists/etknown.list

https://openphish.com/feed.txt

https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/android-tracking.txt

https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt

https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/AmazonFireTV.txt

https://v.firebog.net/hosts/Prigent-Ads.txt

https://v.firebog.net/hosts/Prigent-Adult.txt

https://v.firebog.net/hosts/Prigent-Crypto.txt

https://v.firebog.net/hosts/Prigent-Malware.txt

https://v.firebog.net/hosts/RPiList-Malware.txt

https://raw.githubusercontent.com/RooneyMcNibNug/pihole-stuff/master/SNAFU.txt

https://raw.githubusercontent.com/Spam404/lists/master/main-blacklist.txt

https://opendbl.net/lists/tor-exit.list

http://www.talosintelligence.com/documents/ip-blacklist

https://osint.digitalside.it/Threat-Intel/lists/latestdomains.txt

https://www.dan.me.uk/torlist/

https://urlhaus.abuse.ch/downloads/text_online/

https://v.firebog.net/hosts/static/w3kbl.txt

https://zerodot1.deteque.com/main/ipfeeds/bad/ZeroDot1sBadIPs.txt

https://zerodot1.deteque.com/main/ipfeeds/mining/ZeroDot1sMinerIPsLATEST.txt

https://zerodot1.deteque.com/main/ipfeeds/mining/ZeroDot1sMinerIPsLATESTv6.txt

https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt

https://bitbucket.org/ethanr/dns-blacklists/raw/8575c9f96e5b4a1308f2f12394abd86d0927a4a0/bad_lists/Mandiant_APT1_Report_Appendix_D.txt

https://v.firebog.net/hosts/neohostsbasic.txt

https://v.firebog.net/hosts/Admiral.txt

https://v.firebog.net/hosts/AdguardDNS.txt

https://v.firebog.net/hosts/Easylist.txt

https://v.firebog.net/hosts/Easyprivacy.txt

https://raw.githubusercontent.com/matomo-org/referrer-spam-blacklist/master/spammers.txt

https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_top1m.list

https://phishing.army/download/phishing_army_blocklist_extended.txt

https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/hosts


  • *Eğer liste ücretsiz değilse ve kimlik doğrulama gerekiyorsa, ilgili kullanıcı adı ve şifreyi girin.

  • *Kimlik doğrulama gerekmiyorsa, HTTP basic authentication seçeneğini devre dışı bırakın.

  • *Refresh Rate alanında, FortiGate'in bu listeyi ne sıklıkla kontrol edeceğini belirleyin.

  • *İstenen External Connectors oluşturulduktan sonra, bunları FortiGate'in farklı bölümlerinde kullanabilirsiniz.


https://www.linkedin.com/pulse/using-fortigate-external-threat-list-sources-microsoft-exchange-3visc/

https://community.fortinet.com/t5/FortiGate/Technical-Tip-External-Malware-hash-block-list-for-antivirus/ta-p/197291

Tags: