FortiSandbox, şüpheli dosyaları ve içerikleri önceden tanımlanmış güvenlik imzalarıyla tespit edilemeyen gelişmiş ve yeni (zero-day) tehditlere karşı davranışsal analiz yapan sandbox (güvenli izolasyon) çözümüdür. Bu sayede zararlı yazılımlar gerçek sistemlere zarar vermeden izole bir ortamda çalıştırılarak davranışları analiz edilir ve sonuçlara göre tespit - engelleme yapılır.
FortiSandbox, Fortinet Security Fabric içinde genellikle “son karar noktası” olarak çalışır.
İmza, IPS, AV, EDR vb. teknolojiler anomali tespit eder ya da şüphelenir. İlgili anomali FortiSandbox’a gönderilir.
1️- Anomali FortiSandbox’a nasıl gider?
Aşağıdaki bileşenler şüpheli dosyayı FortiSandbox’a yollar:
Bu aşamada dosya hala zararlı olup olmadığı bilinmeyen bir objedir.
2️- FortiSandbox içinde ne olur?
Dosya sandbox’a girdiğinde 3 katmanlı analiz başlar:
2.1 Static + AI Analizi
Dosya henüz çalıştırılmadan:
• SHA256 hash
• Pack edilmiş mi?
• Obfuscation var mı?
• AI modeli ile malware ihtimali
Eğer %100 temiz görünüyorsa → hızlıca temiz kararı verilir. Şüphe varsa → VM - Cihaz içinde çalıştırılma adımına geçer.
2️.2️ Dinamik VM Çalıştırma (Sandbox)
Anomali FortiSandbox’ın içinde gerçek bir Windows makinede çalıştırılır:
• Windows 10, 11, Server
• Office, PDF Reader, Browser yüklü
• Domain, registry, network gerçek gibi simüle edilir
Analizin bu adımında izlenen bazı davranışlar
Registry yazma
Process injection
DLL drop
PowerShell çalıştırma
C2 bağlantısı
Ransomware davranışı
Exploit tetikleme
3️- C2️ ve MITRE ATT&CK Analizi
FortiSandbox:
• Hangi IP’ye bağlandı?
• DNS tunneling var mı?
• Tor / Proxy mi kullanıyor?
• MITRE ATT&CK taktik, teknik ve prosedür eşleştirme
Örn:
T1059 – Command Execution
T1105 – Ingress Tool Transfer
T1486 – Data Encrypted for Impact (Ransomware)
Bu sayede SOC analisti saldırının hangi aşamada olduğunu görür.
4️- Karar Üretme
FortiSandbox Analiz kararı:
• Clean (Temiz)
• Low Risk (Düşük Risk)
• Suspicious (Şüpheli)
• Malicious (Kötücül – Kötü Niyetli)
• High Risk Malware (Yüksek Riskli)
• Ransomware (Fidye Yazılımı)
• Targeted Attack (Hedefli Saldırı)
5️- Sonuç tüm Security Fabric’e yayılır
FortiSandbox’ı güçlü yapan nokta:
Sandbox sadece rapor üretmez → Fabric’e komut da göndebilir.
FortiSandbox → FortiGate → FortiClient → FortiMail → FortiEDR → FortiAnalyzer
Örnek Aksiyonlar:
Ürün Ne yapar
FortiMail Maili herkesin inbox’ından siler
FortiGate Dosyanın hash’ini global bloklar
FortiClient Endpointte varsa karantinaya alır
FortiEDR Çalışan process’i öldürür
FortiAnalyzer Olayı SOC’a alarm olarak düşer
Bu → Real-time Automated Incident Response demektir.
6 Mimari
