Use FortiGate Automation to collect malicious IP with GitHub
前面提到了 FortiGate 如何透過 External Connectors (Threat Feeds) 來獲取 RBL,進而運用在 Firewall Policy 上過濾進出流量之外,也可以保護 FortiGate 自身所提供的服務。
具一定規模的企業,通常會將 FortiGate 的 Traffic / System Log 導向自建的 Log Server 或是 (Security Information and Event Management, 簡稱 SIEM) 來進行分析,透過分析比對出惡意 IP 之後可以自動化的方式來連動資安設備進行阻斷,或是整理成自家的 RBL file 提供更多資安設備進行聯防。
而本篇主要針對的面向是尚未自建 Log Server / SIEM (通常是小型企業),卻也想要做到收集惡意 IP 來整理自家的 RBL,剛好公司 Firewall 採用的是 FortiGate (當然版本最好是 7.2.4 以上),來打造一個自己的 RBL 收集機制。