Reporte Seguridad FW1500D-Junio - 2019

Reporte FortiOS 6.
0
Data Range: 2019-06-01 00:00 2019-06-30 23:59 ART (FAZ local)
LATAM Security Operation Center

Tabla de contenido
UTM 2
Application Control 2
01. Categorias Bloqueadas 2
02. Aplicaciones Bloqueadas 2
03. Top 10: Detalle de Bloqueados 2
04. Categorias Auditadas 2
05. Aplicaciones Auditadas 2
06. Top 10: Detalle de Auditados 3
DLP 4
01. Top 15: Archivos Bloqueados 4
02. Detalle de Bloqueados 4
03. Top 10: Archivos Auditados 4
04. Detalle de Auditados 4
IPS 5
01. Eventos por Severidad 5
02. Eventos por Tipo 5
03. Top 15: Origenes 6
04. Top 15: Destinos 6
05. Top 15: Severidad Critical 6
06. Glosario Critical 7
07. Top 15: Severidad High 7
08. Glosario High 8
09. Top 15: Otras Severidades 8
10. Glosario Otras Severidades 8
WAF 9
01. Eventos por Tipo 9
02. Top 20: Bloqueados 9
03. Top 10: Permitidos 9
AntiVirus 10
01. Virus por Servicio 10
02. Top 10: Virus 10
03. Glosario Virus 10
04. Top 10: Botnet - Command and Control 10
Web Filter 11
01. Top 30: Usuarios Bloqueados 11
02. Top 20: Paginas Bloquedas por Lista Negra 12
03. Top 15: Categorias Bloqueadas 12
04. Top 20: Paginas Permitidas por Lista Blanca 13
05. Top 30: Mayor Consumo de Ancho de Banda de Usuario a Dominio 13
06. Top 30: Usuarios con Mayor Consumo de Ancho de Banda 14
07. Top 20: Paginas con Mayor Consumo de Ancho de Banda 14
VPN 15
Client 15
01. Historico de Usuarios 15
02. Top 15: Usuarios Autenticados 15
03. Top 10: Intentos Fallidos de Autenticacion 16
04. Top 15: Usuarios Autenticados por Duracion 16
Comentarios Adicionales 17
Reporte FortiOS 6.0 page 1 of 17

UTM
Application Control
A continuación se mostraran las categorías, aplicaciones y usuarios bloqueados, como también auditados, por el
módulo de Application Control.
Todos los eventos registrados son en sentido saliente.
01. Categorias Bloqueadas

02. Aplicaciones Bloqueadas
78.71% MS.Windows.Update (28,935,660
85.48% Update (31,426,745 )
6.77% Microsoft.Office.Update (2,490,515
5.96% Network.Service (2,190,435 )
5.96% QUIC (2,190,435 )
3.26% P2P (1,196,845 )
3.26% BitTorrent (1,196,829 )
2.55% Proxy (936,803 )
1.68% Turbo.VPN (618,700 )
1.74% Video/Audio (639,834 )
1.33% YouTube (488,208 )
0.99% VoIP (365,646 )
0.75% Thunder.VPN (276,289 )
0.01% Storage.Backup (3,204 )
0.68% SIP (250,951 )
0.01% Game (2,524 )
0.41% RTCP (149,629 )
0.01% Social.Media (2,427 )
0.31% FaceTime (114,303 )
0.00% Collaboration (150 )
0.14% Others (53,094 )
03. Top 10: Detalle de Bloqueados

# Origen Usuario Grupo Aplicacion Categoria Cantidad
1 10.10.15.57 guest SSO_Guest_Users BitTorrent P2P
797485
2 10.10.15.119 guest SSO_Guest_Users BitTorrent P2P 248586
3 10.30.12.30 guest SSO_Guest_Users RTCP Video/Audio 149545
4 10.10.61.147 guest SSO_Guest_Users MS.Windows.Update Update 142691
10 10.50.1.47 guest SSO_Guest_Users Turbo.VPN Proxy 88297
04. Categorias Auditadas 05. Aplicaciones Auditadas
No hay datos de bitácoras coincidentes para este infor No hay datos de bitácoras coincidentes para este infor
me me

06. Top 10: Detalle de Auditados
No hay datos de bitácoras coincidentes para este informe

DLP
A continuación se mostraran los archivos, bloqueados y auditados, por el módulo de DLP. Luego se detallaran para
más información.
01. Top 15: Archivos Bloqueados
02. Detalle de Bloqueados
03. Top 10: Archivos Auditados
04. Detalle de Auditados

IPS
A continuación se mostraran estadísticas generales de los eventos registrados por severidad y tipo; luego los
orígenes y destinos que más cantidad de eventos presentaron, para finalizar detallándolos y clasificándolos por
severidad. Toda esta información fue obtenida por el módulo de IPS.
Todos los eventos registrados son en sentido entrante.
01. Eventos por Severidad
99.02% high (39,706 )

0.98% Crítico (392 )
02. Eventos por Tipo
99.93% Anomaly (40,034 )

0.03% Code Injection (11 )
0.02% Buffer Errors (10 )
0.02% Other (8 )
0.00% SQL Injection (1 )

03. Top 15: Origenes 04. Top 15: Destinos

# Origen Cantidad # Destino Cantidad
1 210.245.164.213 19259 1 10.10.150.81 39708
2 104.149.236.55 18266 2 10.10.150.8 29
3 37.49.227.175 2167 3 201.234.178.145 28
4 10.10.150.2 302 4 201.234.65.42 24
5 190.25.230.242 27 5 198.32.64.12 21
6 66.240.205.34 20 6 199.7.91.13 19
7 61.102.209.61 8 7 192.112.36.4 18
8 116.124.128.245 7 8 192.36.148.17 18
9 172.104.242.173 7 9 199.9.14.201 17
10 10.10.160.30 6 10 193.0.14.129 17
11 200.31.19.141 6 11 200.31.13.169 14
12 121.144.182.9 3 12 192.33.4.12 14
13 80.82.77.33 2 13 192.58.128.30 14
14 50.116.63.64 2 14 128.63.2.53 12
15 66.240.236.119 1 15 128.8.10.90 12
05. Top 15: Severidad Critical

# Destino Tipo de Evento Nombre del Evento Accion Cantidad
1 201.234.178.145 Anomaly udp_flood clear_session 28
2 201.234.65.42 Anomaly udp_src_session clear_session 24

06. Glosario Critical

# Nombre del Evento Referencia
1 udp_flood http://www.fortinet.com/ids/VID285212772
2 udp_src_session http://www.fortinet.com/ids/VID285212773
07. Top 15: Severidad High

Tipo de
# Destino Nombre del Evento Accion Cantidad
Evento
1 10.10.150.8 Anomaly POP3.Login.Brute.Force droppe
39692
1 d
2 10.10.150.8 WINNTI.Botnet droppe 3
1 d
3 10.10.150.8 Other Apache.Struts.2.ParametersInterceptor.Remote.Command.Executio droppe 2
n d
2 d
1 d
0 d
2 d
8 10.10.150.8 Other AWStats.Configdir.Command.Execution droppe 1
1 d
9 10.10.150.8 Mirai.Botnet droppe 1
d
10 10.10.150.8 SQL Injection HTTP.Header.SQL.Injection droppe 1
d
11 10.10.150.8 Buffer Errors Asus.Main_Analysis_Content.ASP.URI.Handling.Code.Execution droppe 1
d
12 10.10.150.8 Other Apache.Struts.2.ClassLoader.Parameter.Interceptor droppe 1
d

08. Glosario High

# Nombre del Evento Referencia
1 POP3.Login.Brute.Force http://www.fortinet.com/ids/VID20945
2 WINNTI.Botnet http://www.fortinet.com/ids/VID47649
3 Apache.Struts.2.ParametersInterceptor.Remote.Command.Execution http://www.fortinet.com/ids/VID24310
8 AWStats.Configdir.Command.Execution http://www.fortinet.com/ids/VID30425
9 Mirai.Botnet http://www.fortinet.com/ids/VID43191
10 HTTP.Header.SQL.Injection http://www.fortinet.com/ids/VID41512
11 Asus.Main_Analysis_Content.ASP.URI.Handling.Code.Execution http://www.fortinet.com/ids/VID46523
12 Apache.Struts.2.ClassLoader.Parameter.Interceptor http://www.fortinet.com/ids/VID38379
09. Top 15: Otras Severidades
10. Glosario Otras Severidades

WAF
A continuación se mostraran estadísticas generales de los eventos registrados por tipo, para luego ser detallados.
Toda esta información fue obtenida por el módulo de WAF.
Todos los eventos registrados son en sentido entrante.
01. Eventos por Tipo
02. Top 20: Bloqueados
03. Top 10: Permitidos

AntiVirus
A continuación se mostrara una estadística de los Virus bloqueados por servicio, para luego detallarlos y
referenciarlos. La ultima tabla muestra toda la información referida a bloqueos de Botnets o redes de Command
and Control (C&C). Esta información fue detectada por el módulo de AntiVirus.
01. Virus por Servicio
02. Top 10: Virus
03. Glosario Virus
04. Top 10: Botnet - Command and Control

Web Filter
A continuación se detallara los usuarios que accedieron a una categoría bloqueada, se mostraran estadísticas de las
categorías bloqueadas y también las paginas accedidas por lista blanca. Adicionalmente se podrá cruzar la
información con estadísticas de Ancho de Banda. Toda esta información fue obtenida por el módulo de Web Filter.
01. Top 30: Usuarios Bloqueados

# Origen Usuario Grupo Cantidad
1 10.75.1.67 ANGIENO Internet_Full_Access 774185
2 10.45.1.76 guest SSO_Guest_Users 571102
22 10.10.174.21 OSCARAL Internet_Full_Access 106742
23 10.47.1.86 LEIDYSAM Internet_Full_Access 105427
29 10.10.2.106 JOHNJJ Internet_Full_Access 77821

02. Top 20: Paginas Bloquedas por Lista Negra

# Dominio Categoria Cantidad
1 google.com Freeware and Software Downloads 8072404
2 google.com Instant Messaging 5195490
3 whatsapp.net Instant Messaging 1814217
4 facebook.com Social Networking 1743986
5 virtualearth.net Reference 1522582
6 ggpht.com Content Servers 978115
7 168.61.208.80 Unrated 573680
8 doubleclick.net Advertising 520530
9 google.com Advertising 462461
10 adnxs.com Advertising 415156
11 googlesyndication.com Advertising 379991
12 3322.org Web Hosting 244090
13 instagram.com Social Networking 239714
14 sdad.guru General Organizations 236719
15 fbcdn.net Social Networking 215394
16 icloud.com File Sharing and Storage 209683
17 ledger-test.bt.co Peer-to-peer File Sharing 204722
18 avcdn.net Information and Computer Security 202423
19 23.211.228.145 Unrated 185558
20 yahoo.com Web-based Email 181298
03. Top 15: Categorias Bloqueadas

Cantidad
8M
6M
4M
2M
0
g
os
e
rs
it y
s
g
ds
ng
ng
g
ed
ns
l
t
ai
en
te
in
t in
nc
in
ag
ve
tr
oa
ur
io
Em
gi
ki
at
si
is
ar
nt
re
or
os
O
er
or
sa
at
nr
eb
rt
ec
nl
Sh
Co
fe
St
H
ed
iz
ve
tS
w
es
ow
rS
W
Re
an
et
ile
eb
d
Ad
tM
as
ss
en
te
an
us
D
rg
rF
le
W
-b
nt
pu
e
an
io
al
O
ng
g
eb
ar
ee
Co
ic
in
ci
m
st
al
ni
ftw
al
W
-p
So
ar
Co
In
er
ea
M
-to
Sh
So
en
d
er
an
le
G
d
Pe
an
Fi
n
io
e
at
ar
rm
w
ee
fo
Fr
In

04. Top 20: Paginas Permitidas por Lista Blanca

# Dominio Perfil Cantidad
1 microsoft.com Internet_Paginas_de_Trabajo 5720909
2 google.com Internet_Full_Access 3832217
3 microsoft.com Internet_Full_Access 3705560
4 msn.com Internet_Paginas_de_Trabajo 3221520
5 googleapis.com Internet_Paginas_de_Trabajo 3191750
6 gstatic.com Internet_Paginas_de_Trabajo 2467236
7 google.com Internet_Paginas_de_Trabajo 2408625
8 saludtotal.com.co Internet_Paginas_de_Trabajo 1895930
9 live.com Internet_Full_Access 1216005
10 akamaized.net Internet_Paginas_de_Trabajo 1180800
11 201.234.71.224 Internet_Paginas_de_Trabajo 1177205
12 msn.com Internet_Full_Access 1112129
13 live.com Internet_Paginas_de_Trabajo 1072083
14 office365.com Internet_Full_Access 1021567
15 gstatic.com Internet_Full_Access 1016287
16 jquery.com Internet_Paginas_de_Trabajo 972336
17 googleapis.com Internet_Full_Access 773785
18 medicallth.com Internet_Paginas_de_Trabajo 749891
19 190.14.226.158 Internet_Paginas_de_Trabajo 603475
20 saludtotal.com.co Internet_Full_Access 575612
05. Top 30: Mayor Consumo de Ancho de Banda de Usuario a Dominio

# Origen Usuario Grupo Dominio Ancho de Banda
1 10.10.61.101 guest SSO_Guest_Users teamviewer.com 7.51 TB
2 10.10.2.178 GLORIAP Internet_Tecnologia microsoft.com 1.47 TB
3 10.44.1.89 ANAD Internet_Full_Access edgesuite.net 1.40 TB
4 10.10.185.163 guest SSO_Guest_Users uis.edu.co 1.12 TB
5 10.10.186.102 RICARDOGOH Internet_Full_Access edgesuite.net 1,022.49 GB
6 10.35.1.145 DOUGLASA Internet_Full_Access edgesuite.net 1,022.30 GB
7 10.10.185.70 NESTOREH Internet_Tecnologia edgesuite.net 1,021.16 GB
8 10.10.174.20 SERGIOGOC Internet_Full_Access microsoft.com 1,020.48 GB
9 10.10.54.184 MICHAELRN Internet_Full_Access edgesuite.net 1,019.70 GB
10 10.70.1.190 LUZM Internet_Full_Access edgesuite.net 1,017.35 GB
11 10.10.187.20 NESTOREH Internet_Tecnologia edgesuite.net 993.19 GB
13 10.10.2.105 MANUELAPM Internet_Full_Access edgesuite.net 976.63 GB
14 10.10.178.110 DILANVG Internet_Tecnologia microsoft.com 875.67 GB
15 10.40.1.44 EYLEENDP Internet_Full_Access edgesuite.net 803.73 GB
16 10.10.184.171 SERGIOGOC Internet_Full_Access edgesuite.net 776.53 GB
17 10.10.178.104 DILANVG Internet_Tecnologia edgesuite.net 744.97 GB
18 10.10.2.105 WILBERCR Internet_Tecnologia edgesuite.net 614.78 GB
21 10.10.168.13 SERGIOGOC Internet_Full_Access edgesuite.net 534.18 GB
24 10.10.174.68 EDWINCL Internet_Full_Access microsoft.com 504.39 GB
26 10.10.184.253 DILANVG Internet_Tecnologia edgesuite.net 431.20 GB
28 10.42.2.47 guest SSO_Guest_Users adobe.com 407.31 GB
29 10.42.3.39 guest SSO_Guest_Users adobe.com 395.96 GB
30 10.10.178.68 BRAYANVQ Internet_Tecnologia microsoft.com 395.88 GB

06. Top 30: Usuarios con Mayor Consumo de Ancho de Banda

# Oirgen Usuario Grupo Ancho de Banda Trafico de Salida Trafico de Entrada
1 10.10.61.101 guest SSO_Guest_Users 7.51 TB
2 10.10.2.178 GLORIAP Internet_Tecnologia 1.47 TB
3 10.44.1.89 ANAD Internet_Full_Access 1.40 TB
4 10.10.185.163 guest SSO_Guest_Users 1.12 TB
5 10.70.1.190 LUZM Internet_Full_Access 1.12 TB
6 10.10.186.102 RICARDOGOH Internet_Full_Access 1,023.60 GB
7 10.35.1.145 DOUGLASA Internet_Full_Access 1,023.14 GB
8 10.10.185.70 NESTOREH Internet_Tecnologia 1,022.03 GB
9 10.10.54.184 MICHAELRN Internet_Full_Access 1,020.53 GB
10 10.10.174.20 SERGIOGOC Internet_Full_Access 1,020.48 GB
11 10.10.2.105 MANUELAPM Internet_Full_Access 1,011.60 GB
12 10.10.187.20 NESTOREH Internet_Tecnologia 994.19 GB
14 10.10.2.105 WILBERCR Internet_Tecnologia 912.92 GB
15 10.10.178.110 DILANVG Internet_Tecnologia 875.81 GB
16 10.40.1.44 EYLEENDP Internet_Full_Access 804.13 GB
17 10.10.184.171 SERGIOGOC Internet_Full_Access 777.37 GB
19 10.70.1.190 LUISACAG Internet_Full_Access 654.48 GB
23 10.10.168.13 SERGIOGOC Internet_Full_Access 534.57 GB
25 10.10.174.68 EDWINCL Internet_Full_Access 504.63 GB
29 10.42.2.47 guest SSO_Guest_Users 407.98 GB
30 10.10.178.68 BRAYANVQ Internet_Tecnologia 396.37 GB
07. Top 20: Paginas con Mayor Consumo de Ancho de Banda

# Dominio Ancho de Banda
1 edgesuite.net 17.41 TB
2 microsoft.com 12.86 TB
3 adobe.com 11.13 TB
4 teamviewer.com 7.59 TB
5 uis.edu.co 1.12 TB
6 saludtotal.com.co 291.81 GB
7 201.234.71.224 273.25 GB
8 udea.edu.co 226.81 GB
9 legis.com.co 111.63 GB
10 akamaized.net 95.34 GB
11 comprarnet.com 71.32 GB
12 telerikstatic.com 62.10 GB
13 google.com 51.30 GB
14 msn.com 47.78 GB
15 200.25.224.72 35.11 GB
16 ubuntu.com 29.90 GB
17 windowsupdate.com 26.29 GB
18 minsalud.gov.co 17.44 GB
19 saludcapital.gov.co 13.73 GB
20 vanguardia.com 10.91 GB

VPN
Client
A continuación se detallaran los picos históricos de usuarios, se mostraran los usuarios que más se autenticaron,
los intentos fallidos de autenticación y los usuarios que más tiempo estuvieron conectados. Toda esta información
fue obtenida con los eventos de VPN Client IPSec & SSL (Tunnel & Web Mode).
01. Historico de Usuarios
600
450
300
150
0
01
03
05
07
09
11
13
15
17
19
21
23
25
27
29
6-
6-
6-
6-
6-
6-
6-
6-
6-
6-
6-
6-
6-
6-
6-
-0
-0
-0
-0
-0
-0
-0
-0
-0
-0
-0
-0
-0
-0
-0
19
19
19
19
19
19
19
19
19
19
19
19
19
19
19
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
02. Top 15: Usuarios Autenticados
# Usuario Conexiones Totales
1 dianagrp 368
2 YesidRQ 304
3 VictorLA 252
4 Odysii 240
5 AlejandroCC 224
6 edwingg 200
7 RosaAP 184
8 JoseFeC 180
9 rodrigoff 176
10 LeidyLoM 176
11 JoyceCR 164
12 samuelgt 161
13 AngelicaChO 153
14 LinaOO 150
15 luisazug 148

03. Top 10: Intentos Fallidos de Autenticacion

# Usuario Intentos Fallidos
1 Malkabh 25
2 rodrigoff 23
3 LinaOO 23
4 Claryla 22
5 JoseFeC 22
6 yazminhr 21
7 SergioAco 21
8 paulalv 19
9 edwingg 18
10 Odysii 16
04. Top 15: Usuarios Autenticados por Duracion

# Usuario Duracion Total (HH:MM:SS)
1 Odysii 579:38:36
2 YesidRQ 530:23:46
3 edgargal 399:29:10
4 AdrianaCoM 385:46:56
5 Paulagic 360:00:47
6 OmarGT 335:26:08
7 Claryla 332:07:12
8 JorgeVO 310:38:03
9 carlosn 307:36:36
10 MargaritaGDA 301:53:06
11 JoseArF 292:37:03
12 manuelaf 291:19:53
13 EdwinCL 266:58:17
14 NelsonMM 266:08:50
15 hawertsm 262:29:26

Comentarios Adicionales
Esta página puede estar en blanco. Solo es utilizada en caso de ser necesario.

Reporte Seguridad FW1500D-Junio - 2019

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Reporte Seguridad FW1500D-Junio - 2019

Cargado por

Copyright:

Formatos disponibles

Reporte FortiOS 6.

LATAM Security Operation Center

Reporte FortiOS 6.0 page 1 of 17

Todos los eventos registrados son en sentido saliente.

01. Categorias Bloqueadas

03. Top 10: Detalle de Bloqueados

04. Categorias Auditadas 05. Aplicaciones Auditadas

Reporte FortiOS 6.0 page 2 of 17

06. Top 10: Detalle de Auditados

No hay datos de bitácoras coincidentes para este informe

Reporte FortiOS 6.0 page 3 of 17

Todos los eventos registrados son en sentido saliente.

01. Top 15: Archivos Bloqueados

No hay datos de bitácoras coincidentes para este informe

02. Detalle de Bloqueados

No hay datos de bitácoras coincidentes para este informe

03. Top 10: Archivos Auditados

No hay datos de bitácoras coincidentes para este informe

04. Detalle de Auditados

No hay datos de bitácoras coincidentes para este informe

Reporte FortiOS 6.0 page 4 of 17

Todos los eventos registrados son en sentido entrante.

01. Eventos por Severidad

99.02% high (39,706 )

02. Eventos por Tipo

99.93% Anomaly (40,034 )

Reporte FortiOS 6.0 page 5 of 17

03. Top 15: Origenes 04. Top 15: Destinos

05. Top 15: Severidad Critical

Reporte FortiOS 6.0 page 6 of 17

06. Glosario Critical

07. Top 15: Severidad High

Reporte FortiOS 6.0 page 7 of 17

08. Glosario High

09. Top 15: Otras Severidades

No hay datos de bitácoras coincidentes para este informe

10. Glosario Otras Severidades

No hay datos de bitácoras coincidentes para este informe

Reporte FortiOS 6.0 page 8 of 17

Todos los eventos registrados son en sentido entrante.

01. Eventos por Tipo

No hay datos de bitácoras coincidentes para este informe

02. Top 20: Bloqueados

No hay datos de bitácoras coincidentes para este informe

03. Top 10: Permitidos

No hay datos de bitácoras coincidentes para este informe

Reporte FortiOS 6.0 page 9 of 17

Todos los eventos registrados son en sentido saliente.

01. Virus por Servicio

No hay datos de bitácoras coincidentes para este informe

02. Top 10: Virus

No hay datos de bitácoras coincidentes para este informe

03. Glosario Virus

No hay datos de bitácoras coincidentes para este informe

04. Top 10: Botnet - Command and Control

No hay datos de bitácoras coincidentes para este informe

Reporte FortiOS 6.0 page 10 of 17

Todos los eventos registrados son en sentido saliente.

01. Top 30: Usuarios Bloqueados

Reporte FortiOS 6.0 page 11 of 17

02. Top 20: Paginas Bloquedas por Lista Negra

03. Top 15: Categorias Bloqueadas

Reporte FortiOS 6.0 page 12 of 17