Training Advanced Threat Protection

FortiSandbox 3000E
Project Pengadaan Security Management

PUSINTEK
2020
2020
SANDBOXING CONCEPTS

2020
Sandboxing Concepts
Kenapa harus menggunakan Sandbox?

● Tradisional deteksi virus bergantung pada pencocokan pola

● 2020
Heuristik dapat mengidentifikasi atribut yang menyerupai virus
● Emulator dapat mendeteksi virus dengan lebih pasti
● Full code execution membutuhkan sistem terpisah dan
terlindungi.
FortiSandbox Architecture
● FortiSandbox host mempunyai paket Fortiguard engines dan
termasuk database Fortiguard antivirus
● Host VM berdasarkan Hypervisor yang sudah dimodifikasi
● Lisensi di aktifkan di VM master 2020
● VM master berisi main image beserta snapshot
● Pada saat file diterima untuk Sandboxing, master VM di clone
Input Methods
● Device
● Sniffer
● On-demand
● Adapter
● Network Share 2020
Key FortiSandbox
Components

2020
● File Filter
Menentukan tipe file sampel, filter file juga mengirimkan sampel
ke proses scanning job berdasarkan konfigurasi “Scan Profile”.
● Cache Check
Setelah FortiSandbox menentukan tipe file, sampel tersebut akan
diperiksa dengan hasil putusan di-cache FortiSandbox, untuk
melihat apakah sudah ada action atau putusan untuk sampel
tersebut. 2020
● Static Analysis
Selanjutnya file sampel dikirimkan untuk pemindaian analisis
statis lebih lanjut, emulasi kode diterapkan untuk mensimulasikan
aktivitas dari sampel apakah terdapat script atau macro yang di
sisipkan.
● Fortiguard Antivirus Scan
Langkah berikutnya, FortiSandbox menggunakan mesin av
fortiguard, yang menggunakan paten Fortinet Content Pattern
Recognition Language (CPRL) dan upaya untuk mengidentifikasi
perilaku jenis malware dalam suatu file.
● Cloud Query
Komunitas Cloud FortiSandbox adalah database sampel dan
putusan-putusan yang dikumpulkan dari perangkat di seluruh
dunia.
● Sandbox Prefilter

2020
Merupakan proses penyaringan yang dapat mengurangi jumlah
file dan URL yang akan dikirimkan ke sandbox, jika dalam suatu
sampel tidak terdapat script apapun, maka sampel tersebut
selanjutnya tidak akan dipindai.
● VM Scan
Untuk setiap file atau sampel yang membutuhkan sandboxing,
Fortisandbox membuat instance VM baru, dan menjalankan file
sampel tersebut.
● Rating Engine
Merupakan suatu proses dimana Sandbox menganalisa sebuah
informasi, memeriksa percobaan koneksi ke URL yang
bertentangan dengan Fortiguard web filtering database ataupun
percobaan koneksi melalui IP yang bertentangan dengan
database rating IP Fortiguard untuk menentukan apakah IP
tersebut diketahui sebagai command-and-control (C&C) server.

Rating engines juga memeriksa hash dari sampel file, hash file
yang dihasilkan selama proses sandboxing akan dikirim atau di
submit ke Cloud community Sandbox, untuk memeriksa rating
2020
dari hash file tersebut. Hash dari suatu file juga akan diperiksa
dengan database Fortiguard.

Setelah analisa selesai, rating engines menentukan putusan.

Semua file yang sudah dipindai akan diberikan putusan kedalam
3 kategori yaitu Malicious, Suspicious dan clean/unknown.
● Intelligence Sharing
File atau sampel hasil dari scan atau pemindaian akan di share
ke Sandbox Community Cloud dan Fortiguard beserta dengan
verdict report. Fortiguard Labs akan memverifikasi putusan dan
bila perlu menyediakan signature baru melalui update AV
database.

Fortisandbox juga membagikan hasil putusan dengan perangkat

Fortinet Appliance yang lainnya, dalam bentuk malware dan URL
Packages.

2020
 BASIC SETUP FORTISANDBOX INLINE
DEPLOYMENT DAN INTEGRASI FORTIGATE

2020
Inline Deployment

2020
Networking Considerations
Fortisandbox memiliki 2 interface yang didedikasikan untuk fungsi yang spesifik.
● PORT1
Didedikasikan untuk aktifitas manajemen, termasuk akses GUI dan CLI, alert
email, SNMP, DNS dan Fortiguard servis. PORT1 juga bisa digunakan untuk
menerima file dari perangkat fortinet. Tidak bisa digunakan untuk sniffer mode,
semua port kecuali PORT3, dapat dikonfigurasi sebagai manajemen port melalui
CLI.
● PORT3
Port ini dikhususkan untuk komunikasi VM ke arah luar, sebagai outgoing
interface agar vm dapat terhubung ke internet melalui jaringan yang terisolasi.
2020
Initial Configuration
1. Interfaces
Inisialisasi konfigurasi IP pada PORT1 bisa dilakukan melalui CLI.
- Untuk merubah IP
#set port1-ip (IP/Netmask)
- Untuk memberi default gateway
#set default-gw (IP gateway)
2. Akses WEB GUI
2020
Akses GUI melalui IP pada PORT1 yang sudah di assign menggunakan HTTPS
Initial Configuration
3. Routing
Dalam konfigurasi Sandbox, dibutuhkan setidaknya satu static route, untuk internet
akses melalui PORT1, digunakan untuk update servis Fortiguard melalui PORT1.

Memisahkan IP gateway dan DNS konfigurasi untuk PORT3.

2020
Initial Configuration
4. System Time
Konfigurasi waktu mengacu ke NTP server

2020
Initial Configuration
5. Administrative Access
Secara default akses admin pada PORT1 hanya HTTPS
dan PING. untuk CLI bisa dikonfigurasi melalui port lain.

Akses admin pada port lain juga support HTTPS, SSH dan
Telnet, harus diaktifkan secara manual.

Akun admin bisa Local, LDAP dan RADIUS.

2020
Initial Configuration
6. Administrative Access Control
Secara default terdapat 3 Admin Profile:
● Super Admin
- Full GUI dan CLI akses.
- Ditujukan untuk admin keamanan jaringan.
● Read Only
- Tidak bisa melakukan modifikasi ataupun konfigurasi GUI dan akses CLI terbatas.
- Ditujukan untuk user monitoring dan reporting.
● Device
2020
- Tidak bisa melakukan modifikasi ataupun konfigurasi GUI dan akses CLI terbatas.
- Ditujukan untuk user monitoring dan reporting perangkat spesifik.
Initial Configuration
7. Fortiguard Packages
Fortiguard Packages ter-update melalui PORT1.
● Scanner, rating, tracer, dan analytics engines.
● Signature Database.
● Traffic Sniffer.

2020
Initial Configuration
8. VM Management
VM default pada perangkat appliance merupaka preInstalled dan preActivated.
● Nama VM mengindikasikan versi OS, Service Pack level, dan menunjukan
apakah Office ter-Install atau tidak.

2020
Initial Configuration
9. Guest VM Image Management
Optional VM di publikasikan oleh Fortiguard
● Harus di download dan di Install terlebih dahulu.

Default dan Optional VM memiliki software bawaan

yang sudah ter-Install
● Adobe Flash dan Reader
● Java Run Time
● Microsoft Visual C++ Run Time
● Microsoft.NET Framework
2020
● Microsoft Office (Hanya pada VM yang berakhiran
O16)
● Web Browser
Scan Options
1. Scan Profile
● Mengontrol tipe file atau URL apa saja yang
diterima dalam Job Queue/antrian sandbox.
● Menerima jenis file yang diterima dari perangkat,
sniffer, network share, dan adapter inputs.
● URL detection depth mengartikan seberapa
dalam FortiSandbox akan melakukan inspeksi
terhadap link pada sebuah halaman website.
● URL detection timeout mengartikan berapa lama
2020
FortiSandbox melakukan scanning pada suatu
URL spesifik.
2020
2020
Scan Options
2. Scan Priority
● Setiap tipe file dan input source file
memiliki prioritas pemrosesan yang
berbeda.
● Setiap Jobs atau task ditugaskan ke
Guest VM images berdasarkan list
priority ini.

2020
Scan Options
3. Black and White Lists
● Rating untuk white lists yang dinyatakan
clean
● Rating untuk black lists yang dicurigai
malicious

2020
Scan Options
4. Overridden Verdicts

2020
Scan Options
4. Overridden Verdicts

2020
Scan Options
5. Package Management
FortiSandbox dapat membuat paket antivirus dan URL dari
hasil scan, dan mendistribusikannya ke berbagai perangkat
fortinet. Setiap paket baru dibuat pada saat FortiSandbox
mendeteksi malware baru.

2020
 FortiSandbox Integration
1. FortiSandbox Integration

● Peran Fortigate:
○ Decrypt content
○ Mendeteksi dan block ancaman
○ Memberikan suspicious sampel ke FortiSandbox
○ Mencegah outbreak

● Peran FortiSandbox:
○ Inspeksi sampel yang di submit
○ Membuat keputusan
○ Membagikan informasi ancaman 2020
 Configuring FortiSandbox Integration
2. Configuring FortiSandbox Integration

● FortiSandbox merupakan konfigurasi global

● Profil Antivirus di konfigurasi pada tiap VDOM
● FortiSandbox bisa di konfigurasi untuk melakukan
auto-authorize VDOMs
● Jika VDOMs tidak diaktifkan, maka semua scan jobs
hanya ada di root VDOM

2020
 Applied Threat Intelligence
3. Applied Threat intelligence

● FortiSandbox berbagi informasi tentang threat atau

ancaman dengan Fortigate dalam bentuk 2 database,
yaitu malware package dan URL package.

2020
LOG AND REPORTS

2020
 Log & Report
Log dan report page dapat digunakan untuk melihat dan
mendownload semua log yang diperoleh dari perangkat,
mengakses penjadwalan report dan membuat report.

Log juga dapat di konfigurasi ke remote log server, seperti

mengintegrasikannya dengan FortiAnalyzer.

2020
 Logging Levels
Log pada FortiSandbox terdiri dari beberapa tingkatan, Alert,
Critical, Error, Warning, Information dan Debug.

2020
 Log Categories
Logs berdasarkan kategori:
● All events
● System events
● VM events
● Job events
● HA-Cluster events
● Notification Events

2020
 Log Options
Opsi log:
● Download Log
● History Log
● Refresh
● Add Search Filter
● Pagination

2020
 Log Servers
FortiSandbox mampu mengirim log ke syslog server
CEF server atau FortiAnalyzer.

Log & Report > Log Servers untuk membuat, merubah

atau menghapus log server.

User mampu menambahkan up to 30 server log.

2020
 Diagnostic Logs
Diagnostic logs mengizinkan FortiSandbox agar dapat
mengambil record internal system dan histori CLI, yang
nantinya digunakan untuk kebutuhan eskalasi support
Fortinet.

Log & Report > Diagnostic Logs

2020
 Summary Reports
Halaman summary reports berisi kumpulan list
Executive Summary dan Threat Activity reports,
termasuk status dan user yang membuat, pada
halaman ini kita mampu mendownload dan
menghapus PDF reports.
Log & Report > Summary Reports

2020
 Report Center
Dalam FortiSandbox, ketika user membuat atau
generates report, user bisa ke menu atau navigate
kemanapun, dan hasil report bisa di download di
Report Center.

Log & Report > Report Center

2020
Sesi Tanya & Jawab

2020
TERIMA KASIH

2020
2020