Automation Stitch Nedir?
Automation Stitch, FortiOS'un yerleşik otomasyon motorudur. "Eğer X olayı gerçekleşirse, Y aksiyonunu otomatik olarak gerçekleştir" mantığıyla çalışır. Güvenlik ekiplerinin manuel müdahale etmek zorunda kaldığı tekrarlayan görevleri otomatikleştirir ve olay müdahale süresini (MTTR) dramatik biçimde düşürür.
Dış bir SOAR platformu gerektirmez — FortiGate'in kendisinde yerleşik gelir. FortiOS 6.2 ve üzeri tüm modellerde kullanılabilir.
Automation Stitch Mimarisi
Her Automation Stitch iki temel bileşenden oluşur:
Trigger (Tetikleyici)
Hangi olay gerçekleştiğinde otomasyon devreye girecek?
- FortiOS Event Log: Belirli log kategorisi ve seviyesinde (örn: IPS kritik alarm)
- IOC (Indicator of Compromise): FortiGuard tarafından tehdit olarak işaretlenen IP/domain ile iletişim
- Security Rating: Güvenlik skoru belirli bir eşiğin altına düştüğünde
- Interface Status: Bir WAN bağlantısı koptuğunda
- CPU/Memory Threshold: Kaynak kullanımı kritik seviyeye ulaştığında
- Compromised Host: FortiGuard'ın botnet veritabanındaki bir host iç ağda tespit edildiğinde
- Schedule: Belirli zamanlarda düzenli olarak (cron benzeri)
Action (Aksiyon)
Tetikleyici devreye girdiğinde ne yapılacak?
- Email: Güvenlik ekibine e-posta bildirimi
- SMS: Telefon bildirimi (FortiGate SMS gateway ile)
- Webhook: Harici sisteme HTTP POST — Slack, Teams, Jira, PagerDuty vb.
- CLI Script: FortiGate CLI komutları çalıştırma
- Quarantine IP: Kötü amaçlı IP'yi otomatik karantinaya alma
- FortiQuarantine: Uç noktayı ağdan izole etme (NAC)
- AWS Lambda / Azure Function: Bulut fonksiyon tetikleme
- Slack / MS Teams: Anlık mesajlaşma bildirimi
Pratik Kullanım Senaryoları
Senaryo 1: Kötü Amaçlı IP Otomatik Karantina
IPS veya FortiGuard tehdit akışı bir IP'yi kötü amaçlı olarak tespit ettiğinde, sistem beklemeden otomatik engelleme yapar.
GUI Yapılandırması:
Security Fabric → Automation → Create New
- Trigger: FortiOS Event Log → Log Filter: IPS, Severity: Critical
- Action: Quarantine IP
CLI Yapılandırması:
config system automation-trigger
edit "IPS-Critical-Trigger"
set event-type event-log
set logtype ips
set log-search-filter "severity=critical"
next
end
config system automation-action
edit "Quarantine-Attacker-IP"
set action-type quarantine-ip
set duration 3600
next
end
config system automation-stitch
edit "IPS-Auto-Quarantine"
set trigger "IPS-Critical-Trigger"
config actions
edit 1
set action "Quarantine-Attacker-IP"
next
end
next
end
Senaryo 2: WAN Kopunca Teams'e Bildirim
WAN bağlantısı kesildiğinde Microsoft Teams kanalına otomatik mesaj gönderilir. NOC ekibi bağlantı sorununu anında öğrenir.
config system automation-action
edit "Teams-WAN-Alert"
set action-type webhook
set uri "https://outlook.office.com/webhook/YOUR-TEAMS-WEBHOOK-URL"
set http-body '{"text": "⚠️ WAN BAĞLANTISI KESİLDİ — FortiGate: %%log.srcip%% Zaman: %%log.date%% %%log.time%%"}'
set headers "Content-Type: application/json"
next
end
config system automation-trigger
edit "WAN-Down-Trigger"
set event-type event-log
set logtype event
set log-search-filter "subtype=system action=link-down"
next
end
config system automation-stitch
edit "WAN-Teams-Notification"
set trigger "WAN-Down-Trigger"
config actions
edit 1
set action "Teams-WAN-Alert"
next
end
next
end
Senaryo 3: Yüksek CPU'da Otomatik Tanılama
CPU kullanımı %90'ı aştığında CLI script çalışarak anlık oturum ve process bilgisini toplar, e-posta ile iletir.
config system automation-action
edit "CPU-Diagnose-Script"
set action-type cli-script
set script "
diagnose sys top 3 30
get system performance status
diagnose sys session stat
"
next
end
config system automation-trigger
edit "High-CPU-Trigger"
set event-type event-log
set logtype event
set log-search-filter "msg=*cpu*high*"
next
end
Senaryo 4: Botnet Tespitinde Uç Nokta İzolasyonu
İç ağda bir cihazın botnet komuta-kontrol sunucusuyla iletişim kurduğu tespit edildiğinde, o cihaz FortiSwitch üzerinden ağdan otomatik izole edilir.
config system automation-trigger
edit "Compromised-Host-Trigger"
set event-type compromised-host
next
end
config system automation-action
edit "FortiQuarantine-Host"
set action-type quarantine-fortiswitch
set duration 86400
next
end
config system automation-stitch
edit "Botnet-Auto-Isolate"
set trigger "Compromised-Host-Trigger"
config actions
edit 1
set action "FortiQuarantine-Host"
set delay 0
next
end
next
end
Senaryo 5: Günlük Güvenlik Raporu
Her sabah saat 08:00'de FortiGate'in önceki gece istatistiklerini içeren özet raporu e-posta ile gönderir.
config system automation-trigger
edit "Daily-Report-Schedule"
set event-type scheduled
set schedule-type daily
set start-time "08:00:00"
next
end
config system automation-action
edit "Send-Daily-Summary"
set action-type email
set email-to "soc@sirket.com.tr"
set email-subject "FortiGate Günlük Güvenlik Özeti — %%log.date%%"
set message "Önceki 24 saat özeti: Engellenen bağlantılar, IPS alarmları ve yüksek riskli olaylar için FortiAnalyzer'ı inceleyin."
next
end
Değişken (Variable) Kullanımı
Automation Stitch mesaj şablonlarında log alanlarına dinamik olarak erişebilirsiniz:
| Değişken | Açıklama |
|---|---|
%%log.srcip%% | Kaynak IP adresi |
%%log.dstip%% | Hedef IP adresi |
%%log.msg%% | Log mesajı |
%%log.severity%% | Alarm seviyesi |
%%log.date%% | Tarih |
%%log.time%% | Saat |
%%log.user%% | Kullanıcı adı |
%%log.devname%% | FortiGate cihaz adı |
En İyi Uygulamalar
1. Aksiyon Gecikmesi (Delay) Kullanın
Özellikle karantina aksiyonlarında yanlış pozitif riskini azaltmak için kısa bir gecikme eklenebilir. 60 saniye bekleme, kritik bir iş sisteminin yanlışlıkla izole edilmesini önleyebilir.
2. Test Modunda Başlayın
Yeni stitch'leri önce e-posta veya webhook aksiyonuyla test edin. Karantina aksiyonuna geçmeden önce tetiklenme koşullarının doğru çalıştığını doğrulayın.
3. Log Filtreleri Spesifik Tutun
Çok geniş bir tetikleyici filtresi, yüksek hacimli alarm üretir. IPS için minimum severity "high" veya "critical" olarak ayarlanması önerilir.
4. Stitchleri Belgeleyin
Her stitch'in adında ne yaptığını belirtin: "IPS-Critical-Quarantine", "WAN-Down-Teams-Alert" gibi. Bakım ve sorun giderme sürecini kolaylaştırır.
Automation Stitch ile SOAR Entegrasyonu
FortiGate Automation Stitch, daha gelişmiş playbook senaryoları için FortiSOAR ile entegre çalışır. Webhook aksiyonu ile FortiSOAR'a olay gönderilir; FortiSOAR zengin playbook mantığıyla (çok adımlı karar ağaçları, harici sistem entegrasyonları) işlemi devralır.
Sonuç
Automation Stitch, FortiGate'i pasif bir güvenlik cihazından aktif bir yanıt motoruna dönüştürür. Güvenlik ekibinin her alarm için manuel müdahale etmek zorunda kalmadan, kritik olaylara saniyeler içinde otomatik yanıt verilmesini sağlar. Lider Network olarak Automation Stitch tasarımı, senaryo geliştirme ve SOAR entegrasyonunda danışmanlık hizmeti sunuyoruz.