Guia de Fortinet FortiGate

Utilice esta guia para agregar Cybora a FortiGate mediante External Connectors. FortiGate importa el feed como un objeto externo dinamico y lo mantiene sincronizado desde la URL del feed.

Lo que FortiGate puede hacer con un feed de Cybora

• Los feeds de IP address pueden usarse como objetos de source o destination en firewall policies, proxy policies, local-in policies y ZTNA rules. Tambien pueden usarse como external IP block list en DNS filter profiles.
• Los feeds de domain se convierten en Remote Categories dentro de DNS filter profiles y pueden usarse para bloquear o monitorizar dominios coincidentes.
• Si trabaja con indicadores de tipo URL, utilice el tipo de feed URL o FortiGuard Category que admita su version de FortiOS. En la practica, los feeds de IP suelen aplicarse mediante objetos de firewall policy, mientras que los feeds de domain suelen aplicarse mediante DNS filtering.

Antes de empezar

• Utilice una version de FortiGate o FortiOS que admita Security Fabric > External Connectors.
• Asegurese de que FortiGate puede acceder a la URL de su feed de Cybora mediante HTTP o HTTPS.
• Utilice el tipo de feed de Cybora adecuado para su plan y su caso de uso.
• El archivo del feed debe estar en plain text con una entrada por linea.
• Si utiliza multi-VDOM, decida antes de empezar si el connector debe crearse en la global VDOM o en un VDOM especifico.

Crear el external connector

1. Vaya a Security Fabric > External Connectors y haga clic en Create New.
2. Seleccione el tipo de feed que coincide con su feed de Cybora. Use IP Address para indicadores IP y Domain Name para indicadores de dominio.
3. Introduzca un nombre claro para el connector.
4. Configure Update method como External Feed.
5. Pegue la URL de su feed de Cybora en URL of external resource.
6. Deje HTTP basic authentication deshabilitado salvo que su feed lo requiera de forma expresa.
7. Configure Refresh Rate exactamente segun su plan de Cybora. Solo se permite una solicitud dentro del intervalo autorizado. Si FortiGate consulta el feed con mas frecuencia de la permitida por su plan, el feed puede ser bloqueado.
8. Guarde el connector y confirme que esta habilitado.

Aplicar el feed en FortiGate

1. Para feeds de IP address, utilice el objeto importado como source o destination en la firewall policy correspondiente.
2. Para feeds de domain, utilice el feed importado como Remote Category en el DNS filter profile asociado a su policy.
3. Si desea bloquear el trafico coincidente, asegurese de que la policy o el security profile utilizado este configurado para bloquear o denegar el trafico basandose en el feed importado.
4. Habilite logging en la policy o profile utilizado para facilitar la validacion y el troubleshooting.

Validacion

1. Abra el external connector y revise Last Update y el estado de conexion.
2. Use View Entries para confirmar que FortiGate ha importado los indicadores esperados.
3. Verifique que el connector esta referenciado en la policy o en el DNS filter profile previsto.
4. Pruebe con trafico conocido que deba coincidir y revise los registros de policy, DNS filter o seguridad correspondientes.

Si FortiGate pierde temporalmente la conectividad con el servidor externo, la lista ya importada puede seguir funcionando, pero no se actualizara hasta que se restablezca la conectividad.

Lecturas adicionales

• Configuring a threat feed
• External feeds
• IP address threat feed
• Domain name threat feed
• External feed connectors per VDOM