Data leak

[carinavb]

Hola a todos: estoy buscando la forma de loguear los archivos adjuntos que se mandan en un mail, ya sea corporativo, yahoo, hotmail, etc, encontre que hay que activar en UTM/Data leaak, pero no tengo esas opciones, hay alguna forma?
Tengo un forti 60B 3.00-b0740(MR7 Patch 4).

Muchas gracias.

Saludos

[gabyrossi]

Hola, para loguear ese tipo de cosas, lo haces dentro del profile, en content archive -> smpt y/o pop3 accion full. Ahi se guardara todo, contenido de mail y adjuntos. pero para eso necesitas un analyzer.

saludos

[carinavb]

Gabi: gracias por responder.
Si esta habilitado y usamos el Firewall Analyzer 6 de analyzer, pero no veo en ningun lado esa info, solo veo que servidor de correo se uso.

Saludos

[gabyrossi]

Hola, si porque yo hablo de un FORTIANALYZER.

saludos

[keric22]

Gabi: gracias por responder.
Si esta habilitado y usamos el Firewall Analyzer 6 de analyzer, pero no veo en ningun lado esa info, solo veo que servidor de correo se uso.

Saludos

hola carnavb...
gabi te esta informando cosas muy distinta a las que son en realidad....... te explico..

data leak.. es una funcionalidad de la version 4 del sistema operativo de fortigate q te permite seteando ciertas palabras por protocolos como smtp ftp im pop imap detectar estas palabras y tomar acciones como loguear esa informacion, bloquear el usuario, bloquear la ip o bloquear la interfaz por donde esta conecatdo el usuario.. es una funcionalidad avanzadaa para prevenir fuga de informacion.. para eso fue hecho.. ok.

ahora bien si lo q necesitas es q se vean todos los adjuntos de los correos... necesitas un equipo llamado fortianalizer que almacena logs y donde podras almacenar esta informacion q quieres ver y hasta las conversaciones de msn.

necesitas en este caso admas de tener el analizer conectado al fortigate. y crear en la politica de entrada de correo un protection profile con archive en el protocolo smtp..

[gabyrossi]

Hola Keric22, lo que le comente a carina esta bien. para loguear, deberas tenes un dlp o bien content_summary o content_archive con uno logueas sumarial y con el otro full. Poe default ya vienen armados en el DLP.

para que pase esto necesitas un fortianalyzer.

Obviamente cualquier filtro se aplica en un profile.

saludos

[keric22]

Hola Keric22, lo que le comente a carina esta bien. para loguear, deberas tenes un dlp o bien content_summary o content_archive con uno logueas sumarial y con el otro full. Poe default ya vienen armados en el DLP.

para que pase esto necesitas un fortianalyzer.

Obviamente cualquier filtro se aplica en un profile.

saludos

no.. no esta bien.. estas ligados cosas.!!
1ero... data leak es una funcion q no se encuentra en la version q carinavb esta hablando.. dijo q tenia "Tengo un forti 60B 3.00-b0740(MR7 Patch 4)." y por lo q dice tiene version 3.

2do...esa forma de configuracion de "content_summary" etc... no esta sirve para esta version alli solo vas al protection profile y marcas en content archive las check de smtp.. y lo asocias a la politica de firewall por donde llega el correo.. y alli no hay opciones de sumarial o full..!

aqui como vess... no hay opciones de sumarial o full o content summary.. este screen shot es de v3 mr7 patch 6.. solo 2 parches mas arriba que el equipo mencionado en la pregunta inicial

[gabyrossi]

hola, keric22 claro eso que dices es lo que le conteste yo. si lees bien mi primer respuesta.

el dlp es como decis aparece en las versiones 4.o

Carina tambien tiene algun equipo con este firmware (4.0).

EN TU DIBIJO NO APARE FULL LOG, PORQUE NO TENES NINGUN ANALYZER CONFIGURADO, TE MUESTRO REALMENTE COMO SERIA SI TENES UNA ANALYZER:

DESPUES ME CUENTAS

saludos

[keric22]

leeeeeeee el primer comentariooo..!! claramente dice """"""""""""""""""""""Tengo un forti 60B 3.00-b0740(MR7 Patch 4).""""""""""""""""
version 3........... mr 7........ patch 4......................

[gabyrossi]

hla, no estoy aca para cuestionar todo lo que se dice, solo aclare y puse la imagen modificando tu post el cual decia que no podias hacerlo, y con mi imagen quedo claro que si.

aqui estoy para ayudar, no para cuestionar todo y complicar el post.

carina, si sigue sin aclarar tu post, comentanos

saludos

[carinavb]

Hola: para aclarar un poco las cosas, lo del data leak es un funcionalidad de la version 4, por lo que lo que hice para poder utilizarla es actualizar el firmware a la version 4.
Despues de eso y a traves del data leak en el mismo fortinet (no tengo fortianalyzer) puedo ver que archivos, no solo eso, sino que configurando en UTM, file filter pones los tipos de archivos y tambien te muestra que archivos, no solo de mails, sino de paginas, se estan moviendo y no solo por palabras, si controlas tambien el file filter y pones los tipos de archivos que generalmente usas (bloqueados o no) con eso tambien se captura que archivos se estan moviendo en la red.
Lo que si no puedo es guardar todo el trafico porque no tengo el fortianalyzer, pero hasta tenerlo revisamos y loguea bastante tiempo y lo principal es que podemos ver lo que necesitamos ver, no solo de los mails sino de todo el trafico web.
Seguro hay mas combinaciones de cosas que se pueden hacer y que todavia no descubro pero es cuestion de configurar y probar.
Lo de las aplicaciones tambien esta muy bueno, configurable a lo que se te ocurra.

Saludos

[javier8221]

Hola carinavb, en que apartado del Forti se pueden visualizar esos logs de los archivos o trafico que se mueven en la red que tu comentas sin tener el Fortianalyzer yo tengo un Fortigate 110c 4.0 MR2 Patch 9 y me interesaria poder ver el trafico que circula por la red.

Saludos y de antemano gracias por la ayuda

[gabyrossi]

Hola, en el log de dlp.

saludos

[javier8221]

Hola Muchas gracias por la respuesta ya puedo ver algunos logs lo que me interesaria es ver que archivos adjuntos salen de los mails ya le configure la regla y la adjunte al sensor pero no puedo lograr que se vean que adjuntos salen por correo.

De antemano gracias por la ayuda y sugerencias

[gabyrossi]

Hola, si no tenes anazlyer no podrias ver el adjunto, solo el nombre.agregale mas columnas a log.

saludos