FortiSandbox:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiSandbox:FAQ

Vorwort

Diese FAQ's sind für die FortiSandbox basierend auf FortiOS 5 resp. FortiSandbox 1.2/3!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                ALSO SCHWEIZ AG SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Wo findet ich die Dokumente wie Release Notes, User Guide etc. ?

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiConverter:

       http://docs.fortinet.com/fortisandbox/admin-guides (Legacy Link http://docs-legacy.fortinet.com/fsandbox.html)
       Datei:Fortisandbox-v1.0-MR2-release-notes.pdf                                               (FortiSandbox v1.2.0 Release Notes)
       Datei:Fortisandbox-v130-release-notes.pdf                                                   (FortiSandbox v1.3.0 Release Notes)
       Datei:Fortisandbox-admin-v1.0-MR2.pdf                                                       (FortiSandbox v1.2 Administration Guide)
       Datei:Fortisandbox-admin-v1.3.pdf                                                           (FortiSandbox v1.3 Administration Guide)

Was bedeutet im Antivirus Profile die Funktion "Inspect Suspicious Files with FortiGuard Sandbox"?

Ab FortiOS 5.0.4 im Antivirus Profile steht neu - sofern ein FortiGuard Contract vorhanden ist - die Funktion "Inpsect Suspicious Files with FortiGuard Sandbox" zu Verfügung. Diese Funktion übermittelt "suspicious files", die durch die Antivirus Funktion auf der FortiGate erkannt wurden, auf eine "Sandbox" beim Fortinet (FortiCloud). Innerhalb dieser "Sandbox" werden diese Files durch FortiGuard Analytics analysiert. Wenn durch die Analyse festgestellt wird, dass ein File in der "Sandbox" ein neuer Virus darstellt wird dessen Signature in das nächste Update der Antivirus Definitions hinzugefügt. Ob ein File in der "Sandbox" als Virus deklariert wird hängt von verschiedenen Umständen sowie von den momentanen Gefahren Situation/Faktoren ab. Die FortiCloud (FAMS) stellt eine Console bereit über die der Administrator der betreffenden FortiGate die "suspicious files" verwalten können. Dies bedeutet der Status der vers. "suspicious files" kann geändert werden in "Pending, Clean, oder Infisziert mit Malware. Ebenso enthält die FortiCloud (FAMS) Konsole information über Datum, Zeit, User und Lokation des infiszierten Files.

       Datei:Head First into the Sandbox.pdf

Unter FortiOS 5.0.4 steht der Menüpunkt "FortiSandbox" zur Verfügung, Um was handelt es sich dabei?

Nun wenn man das FortiOS 5.0.4 installiert bemerkt man einen neuen Menüpunkt unter folgender Position:

       System > Config > FortiSandbox
       
       Datei:Fortinet-807.jpg

Bei dieser Position handelt es sich um die Anbindung einer Appliance für die Antivirus Funktion (Sandbox) die generell in der FortiCloud zur Verfügung steht;

       Fortinet-808.jpg
       
       NOTE Diese Menüposition ist ebenfalls beschrieben im Abschnitt "Antivirus":
            
            Fortigate:FAQ#Was_bedeutet_im_Antivirus_Profile_die_Funktion_.22Inspect_Suspicious_Files_with_FortiGuard_Sandbox.22.3F

Bei dieser Funktion wird ein sogenanntes "Suspicious" File (Verdacht auf Virus etc.) in die FortiCloud gespielt in eine Sandbox (Pro FortiCloud Account eine Sandbox). Fortinet Analysiert dieses "Suspicious" File und im Falle eines neuen Viruses fliessen die neuen Erkenntnisse ins neuste Antivirus Definition File. Die Analyse die Fortinet durchführt hängen von verschiedenen Faktoren ab wie zB die momentane Gefahrensituation! Es versteht sich von selber das es "Enterprise" Unternehmen aus SOC Compliance Gründen nicht erlaubt ist solche Files in eine Cloud zu analyse Zwecken zu übermitteln. Aus diesen Gründen steht diese Appliance zu Verfügung die ein "Enerprise" Unternehmen nutzen kann im "local" Network um solche "Suspicious" Files aufzuspielen. Die Analyse selber wird nachwievor durch Fortinet resp. durch FortiGuard Service durchgeführt mit dem Unterschied das die Files nicht in die FortiCloud gespielt werden sondern auf die Appliance die sich im "local" Network befindet. Eine Uebersicht betreffend Sandbox gibt folgendes offizielle Dokument:

       Datei:Head First into the Sandbox.pdf