FortiSandbox

Documento descriptivo de la
solución

Adaptado a nueva versión de FSA 3.2 (Dic.2020)

Índice de contenidos

Resumen Ejecutivo............................................................................................................................................1
Visión Global......................................................................................................................................................1
Arquitectura: preceptos básicos........................................................................................................................2
Información de base..........................................................................................................................................2
Validaciones de terceros de FortiSandbox........................................................................................................3
Arquitectura HA.................................................................................................................................................3
Despliegue cluster – Failover.........................................................................................................................5
Upgrade de cluster............................................................................................................................................6
FortiSandbox descripción general:....................................................................................................................6
Configuración de red.........................................................................................................................................6
FortiSandbox Integraciones...............................................................................................................................8
ICAP / MTA y email BCC.................................................................................................................................11
Fortinet Device.................................................................................................................................................12
Malware Package............................................................................................................................................13
URL Package...................................................................................................................................................13
Máquinas Virtuales Internas............................................................................................................................13
Límites de inspección......................................................................................................................................15
Prioridades de inspección...............................................................................................................................16
Protección de OT.............................................................................................................................................17
Yara Rules.......................................................................................................................................................17
Gestión de veredictos y falsos positivos/negativos.........................................................................................18
Asociaciones de ficheros.................................................................................................................................20
Visibilidad y dashboards..................................................................................................................................20
Fortiview..........................................................................................................................................................21
Informes detallados e IOC...............................................................................................................................23
Logs e informes...............................................................................................................................................27
FortiSandbox Cloud.........................................................................................................................................28
Comparativa con FortiSandbox normal de FortiSandbox Cloud:....................................................................29
Referencias de interés.....................................................................................................................................30
Guía de instalación en entornos virtuales (VMware, KVM, HyperV, Nutanix, AWS y Azure).........................30
Visión Global

FortiSandbox proporciona una capa de seguridad contra amenazadas avanzadas (malware, URLs y amenazas
desconocidas incluyendo 0-day) pudiendo también compartir esa información con los equipos de Security
Fabric de Fortinet y equipos de terceros. Para ello utiliza técnicas de IA, sandboxing en VM personalizadas y
técnicas anti-evasión para conseguir identificar todo tipo de malware.

Proporciona los siguientes servicios:

Análisis OnDemand de URLs y ficheros.

Integración nativa con equipos de Security Fabric (Fortimail, Fortigate, Fortiweb, FortiClient, FortiADC,
FortiProxy…)

Integración con distintos métodos con equipos de terceros:

 Inspección de discos, storage en nube y carpetas compartidas SMB/CIFS.

 Capacidad de sniffer para todo tráfico PCAP.
 Capacidad de MTA integrada para SMTP
 Integración con ICAP con proxies y balanceadores.
 Integración con JSON API con todo tipo de dispositivos.
 Integración con conectores con equipos Partner Ready de Fortinet.

Sandboxing en distintos Sistemas Operativos.

Sandboxing en Custom VM.

Ingesta de IOCs (hashes, Yara Rules…)

Compartir IOC centralmente (hashes, URLs, Threat intelligence, MITRE ATT&CK Matrix…)

Informes detallados con información forense de qué hace cada muestra.

Información en tiempo real de amenazas y conexión a herramientas de gestión.

Arquitectura: preceptos básicos

Pág. 1
Información de base

FortiSandbox puede desplegarse en tres modalidades, formato SaaS, formato PaaS y formato OnPremise que a
su vez se puede dividir en tres tipos de OnPremise (VM en nube privada, VM en nube pública o Hardware).

 SaaS: Llamado Fortigate FortiSandbox Cloud. Se licencia por dispositivo y utiliza la red de Sandbox SaaS de
Fortiguard distribuida por el mundo.
 PaaS: Llamado ahora FortiSandbox Cloud. Se accede desde el portal de Forticloud Premium y utiliza
DataCenters alrededor del mundo para dar el servicio y que los clientes puedan levantar sus VM en sus propias
instancias. Pueden pedirse
 OnPremise: Se refiere a los equipos FortiSandbox desplegados y cuya arquitectura no es responsabilidad de
Fortinet. La arquitectura es escalable, pudiendo crecer hasta 100 dispositivos FortiSandbox conectados a un
único cluster, por lo que el resto de equipos verán una única IP de Sandboxing y protección avanzada. Los
elementos pueden Pueden mezclarse en el cluster equipos HW y VM y pueden desplegarse en:
o Nube privada: VMware, KVM, HyperV, Nutanix…
o Nube pública: AWS, Azure …
o Hardware: Distintos modelos según capacidad.
 Posibilidad de implementación en entornos multi-tenant.

A continuación se pueden ver los distintos modelos de FortiSandbox OnPremise:

La información actualizada de equipos se puede encontrar en los DataSheet oficiales:

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiSandbox.pdf

Validaciones de terceros de FortiSandbox

FortiSandbox es un producto que lleva desde 2014 en el mercado y

se ha sometido anualmente a distintos análisis de terceros con muy

Pág. 2
buenos resultados. Algunas de las certificaciones y recomendaciones de FortiSandbox son NSS Labs, ICSA
Labs y Virus Bulletin.

Se puede acceder a los informes públicos de las distintas referencias en los siguientes enlaces:

https://www.icsalabs.com/sites/default/files/FINAL_Fortinet_ATD_and_ATD-
email_Cert_Testing_Report_201015.pdf

https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/ar-2019-breach-prevention-systems-test-
report.pdf

Arquitectura HA

Como se ha explicado anteriormente, los servicios SaaS y PaaS de FortiSandbox ya tienen inherentemente alta
disponibilidad. Para los escenarios OnPremise si se desea alta disponibilidad debe formarse un clúster.

En el cluster existen 3 roles: PRIMARY, SECONDARY y WORKERS.

Pág. 3
Siendo el primer rol imprescindible el PRIMARY (antes llamado master) y después se elegirá un SECONDARY
(antes primary Slave) y los siguientes FortiSandbox ya serán simplemente Workers. La separación de roles es la
siguiente:

El PRIMARY se encarga principalmente de:

1. Gestión de todo el cluster y health-check de sí mismo (PING HC)

2. Recibir todas las órdenes de trabajo e inspección (tendrá la IP de Servicio)
3. Redistribuir el trabajo al resto de equipos del clúster.
4. Escáner de carpetas compartidas y almacenamiento.
5. Realizar cambios de configuración a todos los nodos del cluster.
6. Ver el estado de todo el cluster y su configuración de Fortiguard y VMs.

Aunque no es obligatorio, se recomienda una VM potente o un FSA3000 o superior para hacer de PRIMARY.

El SECONDARY se encarga de:

1. Monitoriza el estado del equipo PRIMARY y en caso de fallo, asume el rol de PRIMARY.

Tanto el Primary como el Secondary deben ser el mismo modelo y tener el mismo número de interfaces, los workers
pueden ser ya distintos.

Pág. 4
Los WORKERS por su parte son responsables de:

1. Analizan ficheros y URLs que les envía el PRIMARY.

2. Reportan al PRIMARY toda la información.

Todos los equipos del cluster deberían tener su propio acceso a Internet (recomendado aislado) que comúnmente se
llama ADSL o conexión Sucia. Esta conexión estará en el port3 del equipo FSA y es la que usarán las VM que detonen
malware.

Despliegue cluster – Failover

Upgrade de cluster

Pág. 5
Aunque desde el punto de vista conceptual (IP de servicio, conector de Security Fabric…) la operativa del
cluster se tiene que realizar nodo a nodo en caso de upgrade o reinicio. Se recomienda seguir el siguiente
orden:

1- Workers
2- Secondary
3- Primary

FortiSandbox descripción general:

Es la plataforma que añade protección contra amenazadas avanzadas o desconocidas (Advanced Threat
Protection) y 0-day. Utiliza mecanismos de detección como análisis estático, análisis de IA (inteligencia
artificial), analiza bases de datos globales, utiliza Yara Rules y por último puede detonar muestras en VM
preparadas para investigar cualquier tipo de comportamiento malicioso.

Configuración de red

El equipo FortiSandbox necesita normalmente al menos de dos interfaces configuradas para funcionar, la de gestión y
servicio y la de navegación sucia: Port1 (mgmt) y Port3 (VM-Internet-Access)

El puerto 1 deberá tener activada la gestión (SSH, HTTPS, SNMP, API…) aunque podrá elegirse alguna segunda interfaz
para alguno de los servicios. Este puerto idealmente también debe tener acceso a Fortiguard (base de datos global) para
una multitud de tareas:

Port1 -> Fortiguard

 Actualización de firmas y paquetes de hashes/URLs.

 Base de datos global de Fortiguard y Cyber Threat Alliance.
 Comprobación de rating de URLs (categorías conocidas)

Este acceso a internet se puede proveer de forma directa o mediante proxy corporativo usando SOCKS.

El puerto 3 también es importante que tenga una salida a Internet aunque existe un modo de trabajo en entorno
cerrado que se llama SIMNET. Con el entorno SIMNET las VM internas del FSA simularán tener internet de los servicios
más habituales sin embargo, no será eficaz para detectar droppers o botnets.

Pág. 6
Por tanto:

Si no se provee una salida a Internet separada para el port3, se bajará la capacidad de detección de droppers y botnets
ya que no podremos descargar el contenido en tiempo real.

Se recomienda encarecidamente aislar la salida a Internet del port3 con una IP pública no corporativa y que no comparta
ninguna subred de producción del cliente. Esto es importante porque en esta red se ejecutará malware y posiblemente
pueda enviar correos maliciosos, DoS, intentos de hacking… que pueden hacer que la IP pública usada en el port3 sea
categorizada como blacklist en Internet.

A nivel de rutas, también existirá una tabla de rutas específica para el FortiSandbox (port1 y resto de puertos
salvo el port3). Sin embargo, por motivos de seguridad el equipo FortiSanbdox no usará jamás el port3 (solo lo
usarán las VM de sandboxing) por lo que podrá tener una IP, máscara y ruta totalmente distinta del resto.

Tabla de rutas de port1 está en Network > System Settings mientras que la de port3 está en Scan Profile >
General

Pág. 7
FortiSandbox Integraciones

En general podemos dividir la integración de FortiSandbox en varias categorías:

Bajo Demanda:

En esta configuración un administrador puede subir manualmente una URL o un fichero para ser analizado al
instante con distintos tipos de detalle. Se puede subir esta información mediante la GUI o mediante API.

Pág. 8
El análisis OnDemand es muy útil para analizar en detalle algún fichero externo y añadirlo a la base de datos
de IOC. También puede servir para interaccionar con el malware grabando la ejecución o realizando ciertas
acciones para hacer un análisis forense controlado de lo que ha podido pasar.

Además pueden habilitarse todos los métodos de inspección (prefiltros, análisis estático, IA y otras opciones
que sean importantes para este análisis concreto.

Sniffer

Capturará tráfico en una de las interfaces del FortiSandbox para inspeccionar ficheros o URLs dentro de la
copia de tráfico que encuentre.

Soporta los protocolos HTTP, FTP, POP3, IMAP, SMTP, SMB DNS y TCP en general. Para las versiones cifradas
(HTTPS por ejemplo) deberá configurarse un Fortigate o un elemento que haga de descifrado antes de
mandarlo en modo sniffer. En caso de no disponer de ello, puede enviarse el contenido mediante los
conectores de FortiSandbox.

Network Share

FortiSandbox se conectará de forma proactiva a carpetas compartidas para buscar malware y enlaces
maliciosos. Normalmente estos trabajos se realizan por la noche y en momentos de menos carga de red, por
lo que suelen tener menos prioridad que el resto de análisis.

Se debe configurar las credenciales y carpetas a inspeccionar:

Pág. 9
Cloud Storage

Muy similar al network share pero en almacenamiento de nubes públicas:

inspeccionar AWS S3 Buckets o el servicio Azure Blob.

Puede verse el detalle de cómo configurarse en el siguiente enlace:

https://docs.fortinet.com/document/fortisandbox/3.2.1/administration-guide/942435/cloud-storage

Adaptador (3rd party)

El adaptador es la forma de conectar equipos de otros fabricantes con FortiSandbox para realizar una
integración avanzada. Existe un adaptador exclusivo para el fabricante Carbon Black y después el resto de
fabricantes pueden integrarse mediante API, ICAP y MTA.

Con esta integración puede funcionar FortiSandbox con prácticamente cualquier fabricante: McAffee, Cisco,
F5, Symantec (Broadcom), Proofpoint…

Pág. 10
CarbonBlack / Bit9:

Para este fabricante de control de EndPoint, existe un adaptador específico en el que cualquier fichero
sospechoso podrá ser enviado a FortiSandbox y esperar el veredicto para tomar una decisión.

La configuración de Bit9 es muy sencilla y la configuración del adaptador de FortiSandbox también es bastante
intuitiva:

ICAP / MTA y email BCC

FortiSandbox puede
establecer comunicaciones
mediante los protocolos SMTP
(relay de correo) e ICAP para
recibir y enviar las respuestas
del análisis. Con estos dos
protocolos pueden integrarse
de forma manual cualquier
fabricante capaz de comunicarse mediante ellos. La diferencia entre ellos sería:

ICAP: Mediante este protocolo podemos parar una conexión web (proxy o balanceador), enviarla a nuestro
FortiSandbox y esperar la respuesta o página de reemplazo. Es la forma ideal de conectar a FortiSandbox firewalls,
proxies o balanceadores que no sean Fortinet.

BCC: En este caso recibimos muestras de malware pero no informamos al servidor de correo, es una integración
unidireccional para IOCs. Lo que hacemos es recibir una copia de todos los correos sospechosos para poder alimentar la
base de datos de IOC de FortiSandbox. Cualquier servidor de correo puede configurarse de esta forma.

MTA: El FortiSandbox actúa como una MTA y hace de servidor de relay de correo, pudiendo no solo analizar el
contenido sino parar o informar a la siguiente MTA del posible malware. Es una integración bastante completa pero en
Fortinet siempre se recomienda usar Fortimail como MTA ya que dispone de una conexión nativa mucho más avanzada y
que permite al cliente una mayor granuralidad y funcionalidades de protección de correo.

Pág. 11
Fortinet Device

Es la conexión de dispositivos Fortinet Security Fabric con el FortiSandbox. Son las integraciones más avanzadas ya que
son integraciones nativas de Fortinet. Permiten la protección proactiva real de dispositivos, correo, servidores web…

Los dispositivos simplemente se tienen que autorizar y configurar detalles de informes e IOC, el resto de configuración
es inherente al conector de Security Fabric:

Fortigate: FSA puede realizar análisis más completos que el AV interno del FG, pueden enviarse todos los ficheros o solo
ficheros sospechosos. También puede recibir en tiempo real todos los IOC (hashes y URLs) que vaya aprendiendo el
FortiSandbox. También puede el FG recibir información de un PC infectado y aplicar una cuarentena automática.

FortiMail: Es una de las integraciones más completas ya que se pueden enviar ficheros y URL incluídas en cualquier
email o solo en email sospechosos y parar el correo hasta conocer si hay un malware desconocido o no.

FortiWeb: Se puede usar para inspeccionar ficheros subidos a los servidores (recibos o imágenes por ejemplo) que
puedan contener malware. Si se detecta alguna amenaza se puede aumentar el rating negativo de una IP pública o
cambiar la política de restricción.

FortiClient y EMS: Pueden configurarse para que los propios Endpoints envíen los ficheros sospechosos al FortiSandbox
antes de abrirlos. Además puede servir para la gestión centralizada de amenazas de endpoint y repartir todos los IOC
con los clientes.

Pág. 12
Malware Package

Es una colección dinámica de hashes de malware que va descubriendo el FortiSandbox, se puede alimentar
tanto de los equipos del Security Fabric como elementos externos. Estos malware package serán sincronizados
en tiempo real con el resto de equipos del Fabric para evitar que ficheros “ya conocidos” dentro del Security
Fabric vuelvan a ser inspeccionados en el FortiSandbox.

URL Package

Similar al malware package, es una colección dinámica de URLs antes no categorizadas y que va descubriendo
el Sandbox como maliciosas. Son compartidas con el resto de equipos del Security Fabric.

Máquinas Virtuales Internas

FortiSandbox aparte de aplicar análisis estáticos, IA y otros métodos como el algoritmo propietario CPRL,
aplica Sandboxing en VMs internas. Estas VM se provisionan continuamente siguiendo el siguiente proceso:

 Inicio de la VM desde una ISO concreta.

 Inicio de configuración desde snapshot.
 Test anti-evasión y Sandoxing.
 Borrado.

Pueden ser de tres tipos:

Pág. 13
Estándar: Son las VM propias de Fortinet que o bien vienen ya descargadas o pueden ser automáticamente
descargadas desde Fortiguard. Tienen las aplicaciones habituales de usuario y ya están preparadas para usarse
sin problema. Por defecto siempre hay VM Windows, pero también pueden utilizarse VM de Linux, VM de
Android e incluso remotas de MAC.

Golden Image: Son imágenes con base VM estándar de Fortinet y modificada por el usuario. Puede
descargarse la Imagen y hacer ciertas modificaciones en aplicaciones o carpetas. En la documentación se
muestra como pre-configured VM y está definido en el apéndice D de la administration guide de FortiSandbox.

Pueden descargarse imágenes Golden de Win10, win7, WinXP… además en sus versiones de 32 o 64 bits.

https://docs.fortinet.com/document/fortisandbox/3.2.1/administration-guide/262124/appendix-d-create-a-
custom-vm-image-using-pre-configured-vms

Custom VM: Es la capacidad excepcional de FortiSandbox de poder ofrecer al cliente subir su propia ISO para
que los análisis, vulnerabilidades y exploits que puedan afectar a sus PCs y portátiles sea exactamente el

Pág. 14
mismo que el investigado en el FortiSandbox. Esto es especialmente útil para detectar ataques dirigidos que
puedan utilizar ciertas aplicaciones específicas o contenido que ese cliente pueda tener en sus PCs.

El método de carga de estas ISO también esta definido en la admin guide en el apéndice E:

https://docs.fortinet.com/document/fortisandbox/3.2.1/administration-guide/372061/appendix-e-create-a-
custom-vm-image-using-your-own-iso

Número de clones y control

El recurso de sandboxing es muy caro tanto en términos económicos como temporales (en conexiones de
milisegundos es una tecnología que puede tardar 3-5 minutos en una inspección completa) por lo que es
importante definir qué ficheros queremos analizar y qué tipo de VMs. Para ello es importante calcular el
número de VM que disponemos y qué clones y mapeo de ficheros queremos hacer.

FortiSandbox es muy regular y permite elegir por cada tipo de extensión qué se quiere analizar,si se quiere
aplicar IA y pre-filtros o si se quiere analizar en una o más VM. Por ejemplo si en un cliente normalmente se
reciben 1000 pdf al día y 100 word, será preferible crear más clones que puedan analizar pdf que ficheros
docx. Igualmente si existe algún fichero predefinido que queremos abrir con una custom VM tendremos que
calcular el número esperado de ficheros de cada tipo para hacer un balanceo óptimo.

Prioridades de inspección

En un momento dado puede llegar un pico de ficheros/URL para inspeccionar y que sea necesario crear un
sistema de colas para atender a todas las peticiones. Para optimizar su uso en una red de producción,
FortiSandbox tiene una configuración de prioridades por defecto que puede ser cambiada por el
administrador.

Normalmente en estas prioridades se mezclan los siguientes conceptos:

Fuente: Siendo lo más prioritario OnDemand (un administrador en tiempo real) y lo menos prioritario un
escáner de una carpeta programado.

Pág. 15
Tipo de fichero: Poniendo como más prioritarios los ficheros más peligrosos (exe o dll) y después los más
habituales en una red corporativa como los PDF o Word que puedan estar esperándose para trabajar.

Protección de OT

FortiSandbox mediante una licencia especial, puede usarse específicamente en protección de entornos OT
mediante un Linux especial desarrollado por Fortinet que detecta ataques dirigidos a Industrial Control
Systems (ICS) y a protocolos industriales como son Modbus, IMPI, SNMP, FTP, TFTP y otros.

Yara Rules

YARA es un tipo de detección por patrones que puede ser configurado para detectar distintos tipos de
malware. Existen distintas fuentes de Yara Rules públicas como el CCN-CERT en España y otros organismos
internacionales. FortiSandbox permite importar estas reglas y aplicarlas en su inspección de ficheros para
detectar tipos de ataques como pueda ser una escritura en una zona de memoria no permitida.

Pág. 16
Gestión de veredictos y falsos positivos/negativos

Aunque es improbable que FortiSandbox produzca falsos positivos y falsos negativos, es posible que debido a
alguna técnica anti-evasión o debido a un fichero con un comportamiento sospechoso sea inocuo en la red,
puede ser necesario que un administrador gestione estos casos.

Ejemplos de falso negativo o falso positivo:

Falso negativo: Se realiza un ataque dirigido y no se tiene una Custom VM con la aplicación necesaria por lo
que no es posible realizar la inspección y el malware 0-day elude el sandboxing. En este caso improbable

Pág. 17
podríamos subir la muestra como un falso positivo o marcarlo en el informe para que el sandbox marque esa
muestra y las similares como malware.

Falso positivo: Por ejemplo un fichero que use un administrador IT para desplegar nuevos instalables y que
apague el Antivirus temporalmente. Es un fichero que en malas manos es malicioso pero quizás en la
organización es inocuo. Puede configurarse un allowlist para este fichero y así evitar falsas alarmas.

Tipos de ficheros

Por defecto FortiSandbox soporta todos los siguientes ficheros (aunque se pueden añadir extensiones
personalizables).

 Ejecutables: BAT, CMD, DLL, EML, EXE, JAR, JSE, MSI, PS1, UPX, WSF, and VBS.
 Comprimidos: 7Z, ARB, BZIP, BZIP2, CAB, ISO, EML, GZIP, LZW, RAR, TAR, XZ, ZIP y variantes. Pueden extraerse
distintos niveles de compresión (hasta 6 niveles anidados) y además en cada nivel pueden extraerse hasta un
máximo de 10000 ficheros en un fichero OnDemand.
 Office: toda la suite como Word, Excel, PowerPoint, Outlook…
 Adobe: PDF, SWF y flash
 Web: Html, js, URL y LNK.
 Android: APK
 MACOS: match, fatmatch, DMG, XAR, linux y App

Pág. 18
Asociaciones de ficheros

Todas las extensiones se pueden mapear a las distintas VM que puede tener el FortiSandbox. De esta forma
podemos optimizar los tiempos de inspección o asegurarnos que un malware no es inocuo en algún tipo de
VM.

Visibilidad y dashboards

FortiSandbox provee de varias gráficas y tablas de visibilidad tanto del

conjunto de los equipos como del detalle de las amenazas. Para ello
pueden utilizarse distintas herramientas como son el Dashboard, Fortiview
y los informes. En el dashboard podemos ver información global de la
plataforma como por ejemplo la distrubición de malware encontrado.

También se muestran tablas con los dispositivos que más muestras han
enviado, las amenazas geográficas de una empresa global, el estado
general del cluster de FortiSandbox (CPU, RAM, disco, VMs…), el estado de
las licencias e incluso una búsqueda rápida por hash para ficheros o
muestras de malware.

Pág. 19
Fortiview

Fortiview es el mecanismo de visibilidad en tiempo real propietario de Fortinet. Permite mostrar la

información categorizada y poder pasar de vista de pájaro a detalle mediante un sencillo proceso de drill-
down. En FortiSandbox tenemos muchas vistas de Fortiview que nos ayudan en la gestión diaria:

En esta gráfica se incluyen distintos tipos como son:

Operation Center: Todas las amenazas ordenadas por fecha y

tipo.

Threats by Topology: Muestra todas las fuentes del Sandbox y

ordena el malware por su origen (mail, proxy, firewall…) y
localización geográfica.

Threats by Hosts: Se clasifica el malware por los hosts que se

han infectado y las amenzas de cada uno.

Threats by Files: Se clasifica cada uno de los ficheros mostrando

qué usuarios han recibido cada tipo.

Threats by Devices: Por cada una de las fuentes que mandan

muestras al FortiSanbox.

Pág. 20
File Detection:

Es una categoría de visibilidad del FortiSandbox en el que podemos encontrar todos los informes detallados de
ficheros inspeccionados incluyendo todas las categorías: CLEAN, MALICIOUS, LOW-RISK, MED-RISK, HIGH-RISK
y custom.

Desde aquí puede accederse a los informes detallados, descargar el informe en PDF, ver el vídeo de la
ejecución de la muestra o interaccionar con nuestra VM:

También desde esta pestaña se puede descargar la muestra original de malware si somos administradores del
FortiSandbox.

URL Detection:

Es exactamente igual que la pestaña File Detection pero específicamente para las inspecciones que han
surgido de URL en lugar de ficheros.

Network Alerts:

Combina las URL y File Detection pero siendo comportamientos de red encontrados por el sandbox por
ejemplo con el sniffer de tráfico. Tiene gráficas específicas para botnets, droppers y URL.

Pág. 21
Informes detallados e IOC

Una de las características más importantes de un sistema FortiSandbox es la capacidad de crear informes
detallados y compartir IOC de distinto tipo. Haciendo click en los informes de amenazas, FortiSandbox nos
abre una ventana nueva (disponible también en PDF u otros formatos) con toda la información del malware
para comprobar el análisis o realizar más inspección.

Entre la información que provee está: las trazas de logs, los indicadores de compromisoen formato STIX 2.0, y
la captura PCAP.

Este informe detallado cuenta con tres partes (Resumen, Vista de árbol y Detalles)

Resumen - Informe

Tenemos un resumen con la categorización

(encabezado y color) y después información
básica de dónde proviene, ficheros y URL
involucrados

Además se añade un botón de búsqueda fácil en

VirusTotal para comprobar si otras herramientas
de tu sistema lo han categorizado o no.

Además de esta información, se muestra el

detalle de los hashes y URL involucrados:

Pág. 22
En esta misma pestaña se muestran también los indicadores generales de forma sencilla y descriptiva.

En esta descripción se colocan en orden de

criticidad (rojo high risk, naranja médium risk,
azul low-risk…)

Es una manera sencilla de ver qué efectos

produce la muestra analizada con el
FortiSandbox. El número de indicadores puede
variar si no se ejecuta algún método de detección
como pueda ser IA, prefiltros, sandboxing o base
de datos cloud.

También se muestra con qué mecanismos se ha analizado, el

tiempo total del análisis o si se han encontrado medidas anti-
evasión en algunas VM. Esto es especialmente útil para
investigar un incidente o asegurar que el malware no ha
llegado al usuario final.

También si está en un conector de Security Fabric te

mostrará información de quién ha recibido el ataque y de
qué forma (por ejemplo, el email).

Informe – Vista de árbol

Pág. 23
Muestra el árbol de dependencias del malware, con detalle de qué procesos, descargas, movimientos laterales
o acciones maliciosas han ocurrido y en qué orden. Si existe algún método de anti-evasión podrá comprobarse
también en la vista de árbol.

Informe - Detalles

La pestaña de detalles muestra todo el proceso de análisis en línea temporal y también muestra el ataque con
la matriz MITRE ATT&CK así como el detalle del IOC creado.

Pág. 24
Desde esta página se puede descargar el PCAP, los logs, las trazas, la imagen final de la ejecución y el IOC en
formato STIX 2.0. Estos IOC se pueden compartir de forma manual o dejar que el FortiSandbox comparta los
IOC de forma automática con sus conectores nativos.

También muestra el detalle de todos los cambios de registros, ficheros, comporamientos de red, escrituras en
memoria… Pudiéndose filtrar por categorías o por cualquiera de ellos.

Pág. 25
Logs e informes
FortiSandbox aparte de las integraciones ya mencionadas, puede integrarse con distintos SIEM y dispositivos
de gestión de logs e incidentes para crear automatismos y playbooks frente a amenazas avanzadas. Esta parte
se puede configurar en la pestaña de Log&Report que nos permite configurar los distintos destinos de los logs
e informes personalizados:
Logs locales: Se guarda una copia de logs de sistema e inspección principalmente para debugging o en
entornos en los que no haya un repositorio central de logs.
FortiAnalyzer: Dentro del Security Fabric de Fortinet, se puede enviar los logs al FortiAnalyzer / FortiManager
para tener un Single Pane of glass o mando de control de toda la plataforma Fortinet incluyendo firewalls,
correo, WAF...
Syslog server: Pueden ser servidores remotos o SIEM y se puede filtrar qué tipo de logs enviar.

Pág. 26
APENDICE:
FortiSandbox Cloud
Aparte de la solución de FortiSandbox descrita en este documento, existe la versión PaaS alojada en los
servidores de Fortinet. Dispone de prácticamente las mismas funcionalidades que las descritas en este
documento, pero debido a que la parte de sistema se gestiona en el Cloud de Fortinet dispone de algunas
limitaciones en comparación con la versión FortiSandbox On Premise (Hardware, VM o IaaS en nube pública).
El acceso a FortiSandbox Cloud se realiza desde el portal de FortiCloud:

Después del login (o registro si es la primera vez) simplemente se

accede a la instancia ya provista por Fortinet haciendo click en Fortinet
One > FortiSandbox Cloud.

Después, tendremos acceso a la misma GUI de FortiSandbox descrita en el presente documento con algunas
limitaciones de sistema:

Pág. 27
Comparativa con FortiSandbox normal de FortiSandbox Cloud:
1) No se pueden configurar las interfaces port1 o port3 ya que la parte de infraestrura, navegación normal y
navegación “sucia” la provee Fortinet.
2) No se pueden cambiar parámetros de sistema como hostname, firmware, zona horaria…
3) No se pueden subir Custom VM o ISO propias, ya que las imágenes por defecto son Windows y deben ser
validadas por Fortinet. Por este mismo motivo tampoco se dispone en el servicio cloud de la protección especial
de OT.
4) Los conectores son específicos de Fortinet (no puede apuntarse simplemente a una IP) por lo que debe
configurase los conectores de Security Fabric desde los dispositivos Fortigate, Fortimail, FortiClient.
5) Los dispositivos compatibles requieren de la versión de firmware 6.4.x o superior.
6) La lista de dispositivos compatibles se amplía en equipos de Fortinet a FortiGate, FortiClient, Fortimail, Fortiweb,
FortiADC y FortiProxy pero no tiene compatibilidad con ICAP, sniffer (no tiene sentido en cloud), network share
ni equipos de terceros.

El resto de características, medidas de protección ATP, visibilidad, informes y métodos de investigación son
iguales a los descritos en este documento.

Pág. 28
Referencias de interés

Guía del usuario:

https://docs.fortinet.com/document/fortisandbox/3.2.1/administration-guide/523699/introduction

Guía de instalación en entornos virtuales (VMware, KVM, HyperV, Nutanix, AWS y Azure)
https://docs.fortinet.com/vm/product/fortisandbox

Guía de comandos CLI (debugs)

https://docs.fortinet.com/document/fortisandbox/3.2.1/cli-reference/983194/introduction

Manual de buenas prácticas:

https://docs.fortinet.com/document/fortisandbox/3.0.0/best-practices/621838/overview

Datasheet de Fortisandbox:
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiSandbox.pdf

FortiSandbox Cloud:

https://docs.fortinet.com/product/fortisandbox-cloud/20.3

Demo pública de FortiSandbox:

https://fortisandbox.fortidemo.com/

Pág. 29