FortiGate & NGFW9 Temmuz 202610 dakika okuma

Fortinet Automation Stitch: FortiGate'te Olaylara Otomatik Yanıt

FortiOS Automation Stitch, güvenlik olaylarına otomatik yanıt vermenizi sağlar. Yüksek CPU alarmından IP karantinasına, interface down bildiriminden webhook tetiklemesine kadar kurumsal otomasyon senaryoları ve yapılandırma rehberi.

Automation StitchFortiGateFortiOSGüvenlik OtomasyonuSOARWebhookIP KarantinaFortinet

Automation Stitch Nedir?

Automation Stitch, FortiOS'un yerleşik otomasyon motorudur. "Eğer X olayı gerçekleşirse, Y aksiyonunu otomatik olarak gerçekleştir" mantığıyla çalışır. Güvenlik ekiplerinin manuel müdahale etmek zorunda kaldığı tekrarlayan görevleri otomatikleştirir ve olay müdahale süresini (MTTR) dramatik biçimde düşürür.

Dış bir SOAR platformu gerektirmez — FortiGate'in kendisinde yerleşik gelir. FortiOS 6.2 ve üzeri tüm modellerde kullanılabilir.

Automation Stitch Mimarisi

Her Automation Stitch iki temel bileşenden oluşur:

Trigger (Tetikleyici)

Hangi olay gerçekleştiğinde otomasyon devreye girecek?

  • FortiOS Event Log: Belirli log kategorisi ve seviyesinde (örn: IPS kritik alarm)
  • IOC (Indicator of Compromise): FortiGuard tarafından tehdit olarak işaretlenen IP/domain ile iletişim
  • Security Rating: Güvenlik skoru belirli bir eşiğin altına düştüğünde
  • Interface Status: Bir WAN bağlantısı koptuğunda
  • CPU/Memory Threshold: Kaynak kullanımı kritik seviyeye ulaştığında
  • Compromised Host: FortiGuard'ın botnet veritabanındaki bir host iç ağda tespit edildiğinde
  • Schedule: Belirli zamanlarda düzenli olarak (cron benzeri)

Action (Aksiyon)

Tetikleyici devreye girdiğinde ne yapılacak?

  • Email: Güvenlik ekibine e-posta bildirimi
  • SMS: Telefon bildirimi (FortiGate SMS gateway ile)
  • Webhook: Harici sisteme HTTP POST — Slack, Teams, Jira, PagerDuty vb.
  • CLI Script: FortiGate CLI komutları çalıştırma
  • Quarantine IP: Kötü amaçlı IP'yi otomatik karantinaya alma
  • FortiQuarantine: Uç noktayı ağdan izole etme (NAC)
  • AWS Lambda / Azure Function: Bulut fonksiyon tetikleme
  • Slack / MS Teams: Anlık mesajlaşma bildirimi

Pratik Kullanım Senaryoları

Senaryo 1: Kötü Amaçlı IP Otomatik Karantina

IPS veya FortiGuard tehdit akışı bir IP'yi kötü amaçlı olarak tespit ettiğinde, sistem beklemeden otomatik engelleme yapar.

GUI Yapılandırması:

Security Fabric → Automation → Create New

  • Trigger: FortiOS Event Log → Log Filter: IPS, Severity: Critical
  • Action: Quarantine IP

CLI Yapılandırması:

config system automation-trigger
  edit "IPS-Critical-Trigger"
    set event-type event-log
    set logtype ips
    set log-search-filter "severity=critical"
  next
end

config system automation-action
  edit "Quarantine-Attacker-IP"
    set action-type quarantine-ip
    set duration 3600
  next
end

config system automation-stitch
  edit "IPS-Auto-Quarantine"
    set trigger "IPS-Critical-Trigger"
    config actions
      edit 1
        set action "Quarantine-Attacker-IP"
      next
    end
  next
end

Senaryo 2: WAN Kopunca Teams'e Bildirim

WAN bağlantısı kesildiğinde Microsoft Teams kanalına otomatik mesaj gönderilir. NOC ekibi bağlantı sorununu anında öğrenir.

config system automation-action
  edit "Teams-WAN-Alert"
    set action-type webhook
    set uri "https://outlook.office.com/webhook/YOUR-TEAMS-WEBHOOK-URL"
    set http-body '{"text": "⚠️ WAN BAĞLANTISI KESİLDİ — FortiGate: %%log.srcip%%  Zaman: %%log.date%% %%log.time%%"}'
    set headers "Content-Type: application/json"
  next
end

config system automation-trigger
  edit "WAN-Down-Trigger"
    set event-type event-log
    set logtype event
    set log-search-filter "subtype=system action=link-down"
  next
end

config system automation-stitch
  edit "WAN-Teams-Notification"
    set trigger "WAN-Down-Trigger"
    config actions
      edit 1
        set action "Teams-WAN-Alert"
      next
    end
  next
end

Senaryo 3: Yüksek CPU'da Otomatik Tanılama

CPU kullanımı %90'ı aştığında CLI script çalışarak anlık oturum ve process bilgisini toplar, e-posta ile iletir.

config system automation-action
  edit "CPU-Diagnose-Script"
    set action-type cli-script
    set script "
      diagnose sys top 3 30
      get system performance status
      diagnose sys session stat
    "
  next
end

config system automation-trigger
  edit "High-CPU-Trigger"
    set event-type event-log
    set logtype event
    set log-search-filter "msg=*cpu*high*"
  next
end

Senaryo 4: Botnet Tespitinde Uç Nokta İzolasyonu

İç ağda bir cihazın botnet komuta-kontrol sunucusuyla iletişim kurduğu tespit edildiğinde, o cihaz FortiSwitch üzerinden ağdan otomatik izole edilir.

config system automation-trigger
  edit "Compromised-Host-Trigger"
    set event-type compromised-host
  next
end

config system automation-action
  edit "FortiQuarantine-Host"
    set action-type quarantine-fortiswitch
    set duration 86400
  next
end

config system automation-stitch
  edit "Botnet-Auto-Isolate"
    set trigger "Compromised-Host-Trigger"
    config actions
      edit 1
        set action "FortiQuarantine-Host"
        set delay 0
      next
    end
  next
end

Senaryo 5: Günlük Güvenlik Raporu

Her sabah saat 08:00'de FortiGate'in önceki gece istatistiklerini içeren özet raporu e-posta ile gönderir.

config system automation-trigger
  edit "Daily-Report-Schedule"
    set event-type scheduled
    set schedule-type daily
    set start-time "08:00:00"
  next
end

config system automation-action
  edit "Send-Daily-Summary"
    set action-type email
    set email-to "soc@sirket.com.tr"
    set email-subject "FortiGate Günlük Güvenlik Özeti — %%log.date%%"
    set message "Önceki 24 saat özeti: Engellenen bağlantılar, IPS alarmları ve yüksek riskli olaylar için FortiAnalyzer'ı inceleyin."
  next
end

Değişken (Variable) Kullanımı

Automation Stitch mesaj şablonlarında log alanlarına dinamik olarak erişebilirsiniz:

DeğişkenAçıklama
%%log.srcip%%Kaynak IP adresi
%%log.dstip%%Hedef IP adresi
%%log.msg%%Log mesajı
%%log.severity%%Alarm seviyesi
%%log.date%%Tarih
%%log.time%%Saat
%%log.user%%Kullanıcı adı
%%log.devname%%FortiGate cihaz adı

En İyi Uygulamalar

1. Aksiyon Gecikmesi (Delay) Kullanın

Özellikle karantina aksiyonlarında yanlış pozitif riskini azaltmak için kısa bir gecikme eklenebilir. 60 saniye bekleme, kritik bir iş sisteminin yanlışlıkla izole edilmesini önleyebilir.

2. Test Modunda Başlayın

Yeni stitch'leri önce e-posta veya webhook aksiyonuyla test edin. Karantina aksiyonuna geçmeden önce tetiklenme koşullarının doğru çalıştığını doğrulayın.

3. Log Filtreleri Spesifik Tutun

Çok geniş bir tetikleyici filtresi, yüksek hacimli alarm üretir. IPS için minimum severity "high" veya "critical" olarak ayarlanması önerilir.

4. Stitchleri Belgeleyin

Her stitch'in adında ne yaptığını belirtin: "IPS-Critical-Quarantine", "WAN-Down-Teams-Alert" gibi. Bakım ve sorun giderme sürecini kolaylaştırır.

Automation Stitch ile SOAR Entegrasyonu

FortiGate Automation Stitch, daha gelişmiş playbook senaryoları için FortiSOAR ile entegre çalışır. Webhook aksiyonu ile FortiSOAR'a olay gönderilir; FortiSOAR zengin playbook mantığıyla (çok adımlı karar ağaçları, harici sistem entegrasyonları) işlemi devralır.

Sonuç

Automation Stitch, FortiGate'i pasif bir güvenlik cihazından aktif bir yanıt motoruna dönüştürür. Güvenlik ekibinin her alarm için manuel müdahale etmek zorunda kalmadan, kritik olaylara saniyeler içinde otomatik yanıt verilmesini sağlar. Lider Network olarak Automation Stitch tasarımı, senaryo geliştirme ve SOAR entegrasyonunda danışmanlık hizmeti sunuyoruz.

Fortinet Automation Stitch: FortiGate'te Olaylara Otomatik Yanıt | Lider Network Blog | Lider Network