Действия
Действия, созданные в разделе "Действия", будут выполняться при выполнении определенных условий правил (описанных в разделе "Правила").
Этот раздел представляет таблицу действий с возможностью фильтрации действий по необходимым параметрам:
| Поле | Описание |
|---|---|
| Название | Название действия |
| Тип | Тип действия. Список доступных типов: |
| - Список карантина Fortigate (fortigate_ban): Блокировка IP-адреса атакующего | |
| - Увеличение штрафа (increase_penalty): Увеличивает штраф для IP-адреса на определенную величину | |
| - Уведомление по email (email_notification): Отправка уведомления на email-адрес | |
| - Добавить в список (add_to_list): Добавляет объект в указанный список | |
| - Поток угроз Fortigate (fortigate_threat_feed): Групповые операции со списком IP-адресов | |
| Статус | Фильтр по статусам: |
| - Активный: Действие находится в активном состоянии | |
| - Отладка: Действие будет выполняться только в тестовом режиме. Они будут отображаться в логах и на панели управления, но санкции к источникам применяться не будут. | |
| Принудительный | Статус "Принудительный" приоритетен перед списком разрешенных. Если у действия статус Принудительный = "Да", IP-адрес в списке разрешенных будет подвержен санкциям этого действия. |
В правом верхнем углу экрана находится кнопка для создания нового действия "Создать новое действие".
Список доступных действий:
-
Добавить в карантин Fortigate:
- Содержит следующие поля:
- Название действия
- URL Fortigate
- Токен API Fortigate
- Отключение IP-адреса на определенный период
- Список флагов (проверка соединения, включение ограничения скорости и т. д.)
- Содержит следующие поля:
-
Добавить в поток угроз Fortigate:
- Содержит следующие поля:
- Название действия
- URL Fortigate
- Токен API Fortigate
- Название потока
- Отключение IP-адреса на определенный период
- Список флагов (проверка соединения, включение ограничения скорости и т. д.)
- Содержит следующие поля:
-
Выдать штраф:
- Содержит следующие поля:
- Название действия
- Число для увеличения уровня штрафа
- Время истечения штрафа
- Список флагов (включить ограничение скорости; игнорировать список разрешенных (действие будет выполнено, даже если IP находится в списке разрешенных); включить режим отладки (в режиме отладки действие не будет выполнено); не показывать на панели управления)
- Содержит следующие поля:
-
Отправить уведомление по email:
- Содержит следующие поля:
- Название действия
- Email-адрес для отправки уведомления
- Список флагов (включить ограничение скорости; игнорировать список разрешенных (действие будет выполнено, даже если IP находится в списке разрешенных); включить режим отладки (в режиме отладки действие не будет выполнено); не показывать на панели управления)
- Содержит следующие поля:
-
Добавить в выбранный список:
- Содержит следующие поля:
- Название действия
- Выбор списка
- Список флагов (включить ограничение скорости; игнорировать список разрешенных (действие будет выполнено, даже если IP находится в списке разрешенных); включить режим отладки (в режиме отладки действие не будет выполнено); не показывать на панели управления)
- Содержит следующие поля:
В правом углу каждой строки созданного действия доступна функциональность:
- Редактировать действие
- Удалить действие
- Принудительное выполнение действия для указанного IP-адреса
Для этого:- Укажите IP-адрес, к которому должно быть применено выбранное действие.
- Нажмите кнопку "Выполнить принудительно"
Инструкции по использованию
- Составьте список предлагаемых действий для отслеживаемых событий.
- Нажмите кнопку "Создать новое действие".
- Определите необходимый тип действия:
- Список карантина Fortigate (fortigate_ban)
- Увеличение штрафа (increase_penalty)
- Уведомление по email (email_notification)
- Добавить в список (add_to_list)
- Поток угроз Fortigate (fortigate_threat_feed)
- Выберите тип действия и заполните поля.
- Нажмите кнопку "Сохранить", чтобы сохранить.
- Чтобы отредактировать действие, нажмите кнопку
- Чтобы удалить действие, нажмите кнопку
Создание действия для добавления IP-адреса в карантин на Fortigate
Настройки Fortigate
Для создания Действия по добавлению IP-адреса в карантин на Fortigate требуется предварительная подготовка:
На Fortigate перейдите к
System-Admin profiles
- Создайте профиль System-admin со следующими настройками:
| Контроль доступа | Разрешения |
|---|---|
| Security Fabric | ReadWrite |
| FortiView | None |
| User & Device | ReadWrite |
| Firewall | None |
| Log & Report | None |
| Network | None |
| System | ReadWrite |
| Security Profile | None |
| VPN | None |
| WiFi & Switch | None |
- Перейдите к System-Administrators и создайте REST API Admin со следующими параметрами:
| Поле | Описание |
|---|---|
| Имя пользователя | TiSoarNG |
| Профиль администратора | Выберите профиль, созданный на шаге 1. |
| Доверенные хосты | Укажите IP-адрес TiSoarNG, который будет связываться с Fortigate. |
- Сохраните новый API-ключ в безопасное место.
-
Проверьте подключение к Fortigate:
- На Fortigate перейдите к System-Settings и проверьте значение порта в
Administrative settings -- HTTPS port.
Указанный порт будет использоваться далее.
-
Если вы используете TiSoarNG вне периметра вашей сети, настройте доступ к Fortigate извне.
- На Fortigate перейдите к
Network-Interfaces-WANи включите
HTTPS в настройках Administrative access settings.
Убедитесь, что удаленный Firewall позволяет трафик к административному порту вашего Fortigate от удаленного TiSoarNG.
Настройки Fortigate завершены. Перейдите к TiSoarNG.
Настройки на TiSoarNG
Для создания Действия откройте TiSoarNG и перейдите к Действиям.
В правом верхнем углу нажмите "Создать новое действие" -- Fortigate: Добавить в карантин
Заполните необходимые поля:
| Поле | Описание |
|---|---|
| Название действия | Fortigate ban 30 days |
| URL Fortigate | URL-адрес Fortigate с портом управления |
| Токен API Fortigate | Вставьте созданный ранее ключ REST API Admin. |
| Тайм-аут для IP-адреса | Укажите продолжительность, на которую IP-адрес будет заблокирован на Fortigate. Этот параметр должен быть указан в секундах. |
Рекомендуется оставить включенным параметр "Проверка соединения перед сохранением". В этом случае перед сохранением TiSoarNG попытается заблокировать и разблокировать адрес. Если проверка успешна, действие будет сохранено; в противном случае появится сообщение об ошибке. Рекомендуется включить "Ограничение скорости" и установить его на 1 выполнение каждые 300 секунд. Эта настройка поможет ограничить нагрузку на TiSoarNG и Fortigate во время активной атаки, предотвращая выполнение этого действия более одного раза за 300 секунд для одного IP-адреса.
После успешного сохранения Действия назначьте его соответствующему Правилу для выполнения.
Экспорт CSV файла с деталями действий
При нажатии на следующую кнопку:
Вы можете экспортировать действия, отображённые после применения нужных фильтров, в формате CSV.
Каждое действие будет отображаться в отдельной строке, а все значения, относящиеся к этому действию, будут размещены в одной ячейке в виде непрерывной строки, где каждая деталь отделена двоеточием (:).
Значения, которые будут отображаться для каждого действия в CSV файле:
- ID
- Name
- Type
- Key
- Rate Limit Enabled
- Rate Limit Tries
- Rate Limit Window
- Debug Mode
- Ignore Allowlist (true или false)
- Hide From Dashboard (true или false)
- Add To List TTL
- Add To List Name
- Add To List ID
- Policy Names
- Policy Filters
- Inserted At (дата и время добавления действия в систему)
- Updated At (дата последнего изменения действия)