Hocam Selam…
Sizlere Fortigate güvenlik duvarlarında “Automation Stitches” giriş için bakış açınızı genişleteceğini düşündüğüm bir makale yazdım. Otomasyon kullanımı güvenlik ürünlerin de hem işinizi hızlandıran hem de anlık yapılması gereken müdahalelerin otomatik hale getirmenizi sağlar. Python gibi yazılımlarla da otomatize edebilir hatta daha esnek komutlarınızı tüm network ve güvenlik uygulamalarınız ile bütünleştirebilirsiniz. API bağlantıları günümüzde tüm ürünlerin desteklediği bir modernize hale geldiğinden, otomasyon yazmak IT Adminleri için vazgeçilmez hale gelmiştir.

Bu yazımız bir başlangıç ve diğer bölümlerde aşağıdaki adımlarada değineceğim
Saldırı Tespit ve Önleme: DDoS veya brute force gibi saldırılar tespit edildiğinde otomatik yanıt verilebilir. Örneğin, saldırgan IP adresini kara listeye almak veya VPN erişimini kesmek.
Sistem Bildirimleri: Ağdaki anormal durumlarda (yüksek CPU kullanımı, ağ trafiğinde ani artış vb.) anında uyarılar göndererek daha hızlı müdahale imkanı sunar.
Kullanıcı Erişimi Yönetimi: Belirli IP’lerin veya kullanıcı gruplarının erişimini kontrol ederek iç tehditlere karşı güvenlik sağlar.

Avantajları ise;
-Hızlı Müdahale
-İnsan Hatasının Azaltılması
-Daha etkili kaynak kullanımı olarak özetleyebiliriz.

Çok fazla uzatmadan bugün hepbirlikte Fortigate cihazlarımız ile MS Teams uygulamasını entegre edip oluşabilecek önemli alarmların Teams üzerinden anlık bildirilmesi için geliştirme yapabiliriz. Örnek olması için bu yazımda “Admin password fail” ve “Config Change” alarmları oluştuğun mesaj iletilmesi konfigürasyonunu yapacağız.

Teams Üzerinde Connector Oluşturulması
Öncelikle Fortigate güvenlik duvarımız ile Teams bağlmak için bir “Connector” uygulması gerekmektedir. Bunun için “Incoming Webhook” kurarak başlayabiliriz.

1- Teams Uygulamamızdaki “Ekipler>> + >> Ekip oluştur” seçip  isim veriyoruz. Ekip Türünü “Herkese açık” (Public) olarak işaretleyebiliriz.

2- Oluşturduğumuz kanalımıza gerekli olan Connector için Uygulamalar>> “webhook” yazarak  “Incoming Webhook” ekleyebiliriz.

3- Ekibe Ekle seçeneği ile Teams ile oluşturduğumuz ekip ismini seçip bağlayıcı ayarla diyoruz.

4-  Açılan ekranda herhangi bir Connection ismi vererek Create diyoruz. Oluşan pencere bize bir URL oluşturmaktadır. Fortigate üzerindeki entegrasyona girmek  bu URL’i kopyalıyoruz. Teams tarafındaki konfigler ile işimizi bitiriyoruz.

5-Fortigate ürünümüze bağlanıp “Security Fabric” altında “Automation”  altında gerekli ayarlmalarımıza başlıyoruz. Öncesinde bir “Trigger” oluşturuyoruz sonrasında “Action” ve bunları “Stitch” ile birbirine bağlıyoruz.

Yeni bir tetikleme oluşturuyoruz. Burda çok fazla seçenek var ben örnek olması için Event Log önemli gördüğüm “Admin login Fail” ve “Config Change” seçiyorum.

6- Şimdi yeni bir Aksiyon oluşturuyorum. Burda yine çok fazla seçenek bizleri karşılıyor. Maik attırabilirsiniz, Slack uygulaması Telegram gibi birçok entegrasyon yapabilirsiniz.
Konumuz Teams olduğundan teams açıyoruz ve en başta Webhook oluşturduğumuz URL buraya yapıştırıp ok diyoruz.

7-Hem Tetikleme hemde aksiyonumuz oluşturduk, şimdi bunları birbiri ile bağlayabiliriz.
Trigger için “Admin Login Fail” isimli tetiklememi seçiyorum, Action içinde “FortiTeamsNotification” aksiyonumu seçiyorum. Yine burda çok fazla aksiyonlarıda aldırabilirsiniz.

8- Artık teslerimizi yapabiliriz. Admin panelini açıp yanlış bir şifre giriyorum.

9- ve sonuç olarak teams üzerinden alarmımızın düştüğünü görüyorum. Hem Config Change hemde yanlış şifre girildiğinde bilgiler geliyor olacaktır.

Sizler kendinize göre önemli gördüğünüz anlık ekiplerin bildirim almasını istediğiniz konular için bu konfigürasyonu kullanabilirsiniz.


Okuduğunuz için teşekkür ederim

Herkese kesintisiz günler dilerim…..