fortisoar - RunkIntel

# FortiSOAR > SOAR · Vendor: [[_fortinet|Fortinet]] ## Visão Geral **FortiSOAR** é a plataforma de orquestração, automação e resposta a incidentes (SOAR) da Fortinet, nativamente integrada ao ecossistema Fortinet Security Fabric. A principal vantagem competitiva do FortiSOAR é a integração profunda com [[fortigaté|FortiGaté]], [[fortios|FortiOS]], [[fortimanager|FortiManager]] e [[fortiweb|FortiWeb]], permitindo que playbooks executem ações diretamente sobre a infraestrutura de segurança sem a necessidade de APIs externas ou adaptadores de terceiros. **Dados do produto:** - Categoria: SOAR (Security Orchestration, Automation and Response) - Vendor: [[_fortinet|Fortinet]] - Versão atual: - - Presença no Brasil/LATAM: Crescente - adotado por MSSPs e SOCs com grande base Fortinet O FortiSOAR oferece um editor visual de playbooks com suporte a blocos de código Python, mais de 300 conectores pré-construídos para integrações externas e um módulo de gerenciamento de incidentes com abordagem centrada em ativos. Faz parte da solução Fortinet Security Operations em conjunto com o [[fortisiem|FortiSIEM]]. ## Playbooks O FortiSOAR utiliza um construtor visual de playbooks ("Playbook Designer") combinado com blocos de código Python para lógica customizada. O fluxo de automação típico em ambientes Fortinet segue o padrão: **Exemplo de fluxo - Resposta a alerta de IPS:** 1. [[fortisiem|FortiSIEM]] detecta evento suspeito de IPS → dispara alerta para FortiSOAR 2. Playbook inicia enrichment do IoC via VirusTotal e Perplexity 3. Se IoC classificado como malicioso → bloquear IP no [[fortigaté|FortiGaté]] via API do [[fortimanager|FortiManager]] 4. Criar ticket de incidente com evidências coletadas 5. Notificar analista via e-mail ou Slack com sumário do incidente **Cenários específicos com CVEs Fortinet:** - Resposta a exploração de [[cve-2024-47575|CVE-2024-47575]] (FortiManager - autenticação ausente no fgfmsd): isolar dispositivo afetado, revogar certificados, notificar equipe de gestão - Resposta a exploração de [[cve-2024-23113|CVE-2024-23113]] (FortiOS - format string no fgfmd): identificar versões vulneráveis via CMDB, acionar patch automatizado via FortiManager, documentar incidente ## Integração com a Security Fabric O FortiSOAR atua como a **camada de orquestração** do Fortinet Security Fabric, sendo o componente responsável por coordenar ações entre os demais produtos do ecossistema Fortinet. Os playbooks podem disparar ações diretas em: | Produto | Ação Possível | |---------|--------------| | [[fortigaté\|FortiGaté]] | Bloquear/desbloquear IPs, modificar políticas de firewall, isolar segmentos de rede | | [[fortimanager\|FortiManager]] | Fazer push de mudanças de configuração para múltiplos FortiGates simultaneamente | | FortiAnalyzer | Consultar logs históricos, executar queries de investigação | | FortiSandbox | Detonar arquivos suspeitos, recuperar relatório de comportamento | | FortiEDR | Isolar endpoints comprometidos, coletar evidências forenses | Esta integração nativa é o principal diferencial do FortiSOAR em relação a plataformas SOAR independentes como [[cortex-xsoar|Cortex XSOAR]] ou Splunk SOAR - que requerem conectores customizados para operar sobre a infraestrutura Fortinet. ## Casos de Uso CTI O FortiSOAR é especialmente relevante para resposta automatizada a ameaças que exploram produtos Fortinet, dado o alto volume de instalações no Brasil e LATAM: **Resposta a CVEs críticos:** - Detecção e contenção de exploração do [[cve-2024-23113|CVE-2024-23113]] - eventos de crash do processo fgfmd indicam tentativa de exploração - Contenção de comprometimento via [[cve-2024-47575|CVE-2024-47575]] - registro não autorizado de dispositivos no FortiManager **Resposta a grupos de ameaça:** - [[g1017-volt-typhoon|Volt Typhoon]] - lateral movement living-off-the-land em dispositivos de rede, TTPs incluem [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] e modificação silenciosa de configurações - [[lockbit|LockBit Operators]] - ransomware com movimento lateral acelerado - playbooks de contenção e isolamento de rede são críticos para reduzir impacto **Integração com intel externo:** - Enrichment automático de IoCs via VirusTotal, abuse.ch e feeds STIX/TAXII - Correlação com [[fortisiem|FortiSIEM]] para contexto histórico de eventos > [!latam] Relevância para Brasil e LATAM > O FortiSOAR é adotado por MSSPs e SOCs corporativos no Brasil que já utilizam o ecossistema Fortinet. A integração nativa com FortiGate - o firewall mais implantado no país - torna este SOAR estratégico para automação de resposta a incidentes em organizações com grande base Fortinet no Brasil e LATAM. ## Notas Relacionadas **Produtos Fortinet:** [[fortigaté|FortiGaté]] · [[fortimanager|FortiManager]] · [[fortios|FortiOS]] · [[fortiweb|FortiWeb]] · [[fortisiem|FortiSIEM]] **CVEs relevantes:** [[cve-2024-47575|CVE-2024-47575]] · [[cve-2024-23113|CVE-2024-23113]] **Atores monitorados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[lockbit|LockBit Operators]] · [[unc5820]] **Técnicas:** [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Setores:** [[financial]] · [[government]] · [[critical-infrastructure|infraestrutura crítica]]