CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

Hocam Selam…!

Bu yazımda sizlere son günlerde çokca dillerde ve revaşta olan Threat Intelligence kavramı ve firewall ürünlerini buralardan nasıl besleyebileceğimizi anlatmaya çalışacağım. Şimdiden herkese keyifli okumalar dilerim

Threat Intelligence Nedir?
Tehdit istihbarat kavramı, şirketleri maruz kladığı yada kalabileceği bilişim envanterlerinize karşı zararlı yazılmlarla oluşturulmuş tehdit alanları şeklinde özetleyebilirim. Threat Intelligence yani CTI kavramları son dönemler önemi artan bir konu haline gelmiştir. Kişisel olarak yorumladığımda bunu dünya ülkelerinin istihbarat servislerinin alanındaki güçlülüğünü örneklendirebilirim.
Geleneksel ülkemizde kesin bizi izliyolar denilen  Rusyanın KGB si, Israilin Mossad, Holloywad etkili  İngilizlerin MI6 ve ABD nin FBI CIA sı, ülkemizin Milli Istihbarat Teşkilatı gibi örnekleri çoğaltabiliriz. Nasıl İstahbarat servisleri güçlü olan ülkeler diğerlerine göre birkaç adım önde olduğunu görebiliyorsak Siber dünyada da aynı durum geçerlidir. Bir siber saldırının önceden bilgisine ulaşmak günümüzde en değerli bilgilerden birisidir. Firewall, AV, EDR, SIEM, SOAR, XDR… gibi büyük maaliyetli ürünlerin beslenmesi şirketlerin yatırımlarında da büyük önem arz ettiğini söylemek isterim.
Son yıllarda değeri artan SOC hizmetleri(her nekadar kimse memnun olmasada 😀 ) , ücretli CTI yazılımları bu durumların ne kadar ileri seviyede değerlerlendiğini göstermektedir. Firewall ürünlerine USOM engellemesi yapıldıktan sonra https inscpection kullanılmayan, proxy based bir mimariye sahip değilseniz kusura bakılmazsa alınan UTM, NGTX (AV,IPS,Anti-bot…..) lisanslarının hiç bir işe yaramadığını boştan yere para verildiğini üzülerek söylemeliyim.

Görüşlerimi bildirdiğime göre amme hizmeti olarak CheckPoint-Fortigate-Paloalto marka ürünlerde IOC feedler ile nasıl beslerizi sizlerle paylaşmak isterim. Checkpointte buna External IOC, Fortigate external Fabric, Paloalto da ise Dynamic Object ile gerçekleştiriyor olacağız.

ping101.com sitemizde de tamamen ücretsiz paylaştığımız zararlı IP,Domain, hash bilgilerini örnek olarak sizlerde bağlayabilirsiniz.   https://ping101.com.tr/ioc-feed/

CheckPoint Firewallda IOC Feed Nasıl yapılır?


1- Öncelikle NGTX de Anti-Virus blade açık olması gereklidir, bunun zaten olduğunu var sayıyorum

image - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

2- Security Polices sekmesinden Custom Policy Tool ve Indicators sekmesine geliyoruz.

image 1 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

3- Burda New indicators diyerek, besleyeceğimiz URL yazabiliyoruz. Custom Feed sekmesinden IP,MD5,SHA,Domain.. gibi ne besleyeceksek seçmemiz gereklidir. Sonrasında bloklama için Prevent seçerek OK liyoruz.
*Policy basmasyı unutmuyoruz ( Bu sırada çay-kahve- sigara molsıa verebilirsiniz 😀 CP gönül vermişler anladı)

image 2 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

4-Sonrasında loglardan beslendiğini görebilirsiniz. Artık buradan gelcek zararlılar bloklanmaya başlayacaktır.

image 3 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?


Fortigate Firewalllarda External Fabric Nasıl Yapılır?

  1. Fortigate IOC bağlanması rahat bir yapısı var zaten bununla ilgili çokçada yazı var. Securtiy Fabric üzerinden external fabric diyerek ilgili URL ekliyoruz.

***** Burda önemli olan konulardan birisi Fortigate üzerinde SSL-Inspection açmayıp Proxy mode kullanmadığınız sürece UTM lisansı almanıza gerek yok diyebilirim. Boşa güvenlik yapıldığını sanıp lisans almanıza hiç gerek yok.

image 4 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?
image 5 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

IOC Feed çekebildiğini kontrol edebiliriz.

image 6 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?


IP bloklamak için Firewall kuralı yazıyoruz.

image 7 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

URL bloklamak için Securtiy Profillerden Web-Filter içerisinde bloklama yapıyoruz

image 8 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

Malware Hash bloklamak için

image 9 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

Palo Altoda Dynamic Object Lists Nasıl Oluşturulur?


Palo amcamla yine IOC ile rahat entegre yapıp policy ekleyip engellemeleriniz yapabilirsiniz.

1-Öncelikle Object altında External Dynamic List üzerinden IOC bağlıyoruz. Type kısmından IP,URL,Domain engelleyebiliriz.

image 10 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

List ksımından IP lerin geldiğini görebilirsiniz.

image 11 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

Firewall kurallarında en üste obje eklyerek any any drop kuralnı yazabiliriz. Any zone dan internete çıkarken yazabilirsiniz.

image 13 1024x180 - CheckPoint, FortiGate, PaloAlto Firewallarda External IOC Feed ile Nasıl Beslersiniz?

Buraya kadar okuduğunuz için teşekkür ederim. Umarım yararlı olmuştur.

**Extra: Burayı kullanma alışkanlığı diğer Feed besleyen yerlerinizinde entegrasyon yapmınız için önemlidir. Siber istihbarat servisiniz üzerinde yeni çıkmış bir zararlı hash,IP ,domainleri buralara otomatik ekleyerek, güvenlik seviyenizi bir kat daha artırabilirsiniz.

Herkese kesintisiz günler dilerim..

Leave a Reply

E-posta hesabınız yayımlanmayacak.Gerekli alanlar * ile işaretlenmişlerdir