FortiAnalyzer Indicator of Compromise (IOC) 기능은 트래픽을 TIDB(Threat Intelligence DB)와 비교하여 compromised host를 탐지 하는 기능이다.
TIDB는 FortiGuard로부터 업데이트를 받아야 하며, 이를 위해 IOC 라이선스가 필요하다.
IOC 라이선스가 없는 경우 TIDB가 업데이트 되지 않아 정상적인 host를 compromised host로 오탐하여 잘못된 IOC alert을 발생할 수 있다.
이를 방지하기 위해 IOC 스캔을 비활성화 하는 명령어 이다.
config system log ioc
set notification disable
set rescan-status disable
set status disable
end
참고로 IOC 라이선스 유•무를 확인하는 명령어이다.
diagnose test application sqllogd 204 stats
'FortiAnalyzer' 카테고리의 다른 글
| FortiAnalyzer Fabric (0) | 2024.03.05 |
|---|---|
| Security Fabric Logging (0) | 2024.03.05 |
| Log View에서 다운로드 할 경우 최대 로그 수 조정 (0) | 2024.02.02 |
| FortiAnalyzer의 시스템 시간을 변경할 경우 Log View에서는 시간은? (0) | 2024.02.01 |
| 3rd party 장비를 syslog로 FortiAnalyzer에 추가 하는 방법 (0) | 2024.01.30 |
댓글