FortiSandbox 3000E
Project Pengadaan Security Management
PUSINTEK
2020
2020
SANDBOXING CONCEPTS
2020
Sandboxing Concepts
Kenapa harus menggunakan Sandbox?
2020
● File Filter
Menentukan tipe file sampel, filter file juga mengirimkan sampel
ke proses scanning job berdasarkan konfigurasi “Scan Profile”.
● Cache Check
Setelah FortiSandbox menentukan tipe file, sampel tersebut akan
diperiksa dengan hasil putusan di-cache FortiSandbox, untuk
melihat apakah sudah ada action atau putusan untuk sampel
tersebut. 2020
● Static Analysis
Selanjutnya file sampel dikirimkan untuk pemindaian analisis
statis lebih lanjut, emulasi kode diterapkan untuk mensimulasikan
aktivitas dari sampel apakah terdapat script atau macro yang di
sisipkan.
● Fortiguard Antivirus Scan
Langkah berikutnya, FortiSandbox menggunakan mesin av
fortiguard, yang menggunakan paten Fortinet Content Pattern
Recognition Language (CPRL) dan upaya untuk mengidentifikasi
perilaku jenis malware dalam suatu file.
● Cloud Query
Komunitas Cloud FortiSandbox adalah database sampel dan
putusan-putusan yang dikumpulkan dari perangkat di seluruh
dunia.
● Sandbox Prefilter
2020
Merupakan proses penyaringan yang dapat mengurangi jumlah
file dan URL yang akan dikirimkan ke sandbox, jika dalam suatu
sampel tidak terdapat script apapun, maka sampel tersebut
selanjutnya tidak akan dipindai.
● VM Scan
Untuk setiap file atau sampel yang membutuhkan sandboxing,
Fortisandbox membuat instance VM baru, dan menjalankan file
sampel tersebut.
● Rating Engine
Merupakan suatu proses dimana Sandbox menganalisa sebuah
informasi, memeriksa percobaan koneksi ke URL yang
bertentangan dengan Fortiguard web filtering database ataupun
percobaan koneksi melalui IP yang bertentangan dengan
database rating IP Fortiguard untuk menentukan apakah IP
tersebut diketahui sebagai command-and-control (C&C) server.
Rating engines juga memeriksa hash dari sampel file, hash file
yang dihasilkan selama proses sandboxing akan dikirim atau di
submit ke Cloud community Sandbox, untuk memeriksa rating
2020
dari hash file tersebut. Hash dari suatu file juga akan diperiksa
dengan database Fortiguard.
2020
BASIC SETUP FORTISANDBOX INLINE
DEPLOYMENT DAN INTEGRASI FORTIGATE
2020
Inline Deployment
2020
Networking Considerations
Fortisandbox memiliki 2 interface yang didedikasikan untuk fungsi yang spesifik.
● PORT1
Didedikasikan untuk aktifitas manajemen, termasuk akses GUI dan CLI, alert
email, SNMP, DNS dan Fortiguard servis. PORT1 juga bisa digunakan untuk
menerima file dari perangkat fortinet. Tidak bisa digunakan untuk sniffer mode,
semua port kecuali PORT3, dapat dikonfigurasi sebagai manajemen port melalui
CLI.
● PORT3
Port ini dikhususkan untuk komunikasi VM ke arah luar, sebagai outgoing
interface agar vm dapat terhubung ke internet melalui jaringan yang terisolasi.
2020
Initial Configuration
1. Interfaces
Inisialisasi konfigurasi IP pada PORT1 bisa dilakukan melalui CLI.
- Untuk merubah IP
#set port1-ip (IP/Netmask)
- Untuk memberi default gateway
#set default-gw (IP gateway)
2. Akses WEB GUI
2020
Akses GUI melalui IP pada PORT1 yang sudah di assign menggunakan HTTPS
Initial Configuration
3. Routing
Dalam konfigurasi Sandbox, dibutuhkan setidaknya satu static route, untuk internet
akses melalui PORT1, digunakan untuk update servis Fortiguard melalui PORT1.
2020
Initial Configuration
4. System Time
Konfigurasi waktu mengacu ke NTP server
2020
Initial Configuration
5. Administrative Access
Secara default akses admin pada PORT1 hanya HTTPS
dan PING. untuk CLI bisa dikonfigurasi melalui port lain.
Akses admin pada port lain juga support HTTPS, SSH dan
Telnet, harus diaktifkan secara manual.
2020
Initial Configuration
6. Administrative Access Control
Secara default terdapat 3 Admin Profile:
● Super Admin
- Full GUI dan CLI akses.
- Ditujukan untuk admin keamanan jaringan.
● Read Only
- Tidak bisa melakukan modifikasi ataupun konfigurasi GUI dan akses CLI terbatas.
- Ditujukan untuk user monitoring dan reporting.
● Device
2020
- Tidak bisa melakukan modifikasi ataupun konfigurasi GUI dan akses CLI terbatas.
- Ditujukan untuk user monitoring dan reporting perangkat spesifik.
Initial Configuration
7. Fortiguard Packages
Fortiguard Packages ter-update melalui PORT1.
● Scanner, rating, tracer, dan analytics engines.
● Signature Database.
● Traffic Sniffer.
2020
Initial Configuration
8. VM Management
VM default pada perangkat appliance merupaka preInstalled dan preActivated.
● Nama VM mengindikasikan versi OS, Service Pack level, dan menunjukan
apakah Office ter-Install atau tidak.
2020
Initial Configuration
9. Guest VM Image Management
Optional VM di publikasikan oleh Fortiguard
● Harus di download dan di Install terlebih dahulu.
2020
Scan Options
3. Black and White Lists
● Rating untuk white lists yang dinyatakan
clean
● Rating untuk black lists yang dicurigai
malicious
2020
Scan Options
4. Overridden Verdicts
2020
Scan Options
4. Overridden Verdicts
2020
Scan Options
5. Package Management
FortiSandbox dapat membuat paket antivirus dan URL dari
hasil scan, dan mendistribusikannya ke berbagai perangkat
fortinet. Setiap paket baru dibuat pada saat FortiSandbox
mendeteksi malware baru.
2020
FortiSandbox Integration
1. FortiSandbox Integration
● Peran Fortigate:
○ Decrypt content
○ Mendeteksi dan block ancaman
○ Memberikan suspicious sampel ke FortiSandbox
○ Mencegah outbreak
● Peran FortiSandbox:
○ Inspeksi sampel yang di submit
○ Membuat keputusan
○ Membagikan informasi ancaman 2020
Configuring FortiSandbox Integration
2. Configuring FortiSandbox Integration
2020
Applied Threat Intelligence
3. Applied Threat intelligence
2020
LOG AND REPORTS
2020
Log & Report
Log dan report page dapat digunakan untuk melihat dan
mendownload semua log yang diperoleh dari perangkat,
mengakses penjadwalan report dan membuat report.
2020
Logging Levels
Log pada FortiSandbox terdiri dari beberapa tingkatan, Alert,
Critical, Error, Warning, Information dan Debug.
2020
Log Categories
Logs berdasarkan kategori:
● All events
● System events
● VM events
● Job events
● HA-Cluster events
● Notification Events
2020
Log Options
Opsi log:
● Download Log
● History Log
● Refresh
● Add Search Filter
● Pagination
2020
Log Servers
FortiSandbox mampu mengirim log ke syslog server
CEF server atau FortiAnalyzer.
2020
Diagnostic Logs
Diagnostic logs mengizinkan FortiSandbox agar dapat
mengambil record internal system dan histori CLI, yang
nantinya digunakan untuk kebutuhan eskalasi support
Fortinet.
2020
Summary Reports
Halaman summary reports berisi kumpulan list
Executive Summary dan Threat Activity reports,
termasuk status dan user yang membuat, pada
halaman ini kita mampu mendownload dan
menghapus PDF reports.
Log & Report > Summary Reports
2020
Report Center
Dalam FortiSandbox, ketika user membuat atau
generates report, user bisa ke menu atau navigate
kemanapun, dan hasil report bisa di download di
Report Center.
2020
Sesi Tanya & Jawab
2020
TERIMA KASIH
2020
2020