بررسی لاگ «Threat ID 131072» در FortiGate هنگام Deny ترافیک توسط فایروال

در این مقاله به بررسی دلیل ظاهر شدن شناسه تهدید ۱۳۱۰۷۲ در لاگ‌های دستگاه FortiGate می‌پردازیم، خصوصاً در شرایطی که هیچ‌یک از قابلیت‌های UTM فعال نیست و ترافیک صرفاً توسط سیاست‌های فایروال مسدود شده است.

دامنه کاربرد

این راهنما مربوط به محصولات FortiGate و FortiAnalyzer است و برای تیم‌های SOC، مدیران امنیت شبکه و تحلیل‌گران لاگ طراحی شده است.

سناریو

زمانی که هیچ‌کدام از قابلیت‌های امنیتی FortiGate مانند آنتی‌ویروس، IPS، فیلترینگ وب یا اپلیکیشن کنترل (به‌صورت کلی UTM – Unified Threat Management) فعال نباشند، اما ترافیک به‌دلیل نقض قوانین فایروال مسدود شود، دستگاه همچنان یک رویداد تهدید با شناسه ۱۳۱۰۷۲ در لاگ‌ها ثبت می‌کند.

این لاگ‌ها معمولاً شامل مقادیر زیر هستند:

  • Action: نقض سیاست (Policy Violation)

  • Firewall Action: رد (Deny)

تفسیر شناسه تهدید ۱۳۱۰۷۲

شناسه ۱۳۱۰۷۲ نمایانگر یک رویداد مسدودسازی ساده است، نه شناسایی تهدید واقعی. این عدد صرفاً نشان می‌دهد که بسته‌ای توسط سیاست‌های فایروال رد شده، در حالی که هیچ تحلیل عمیق‌تری توسط UTM انجام نگرفته است.

از منظر باینری، عدد ۱۳۱۰۷۲ برابر است با ۱۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰ که تنها بیت مرتبط با blocked-connection در ساختار Threat Weight را فعال نشان می‌دهد.

Fortigate Threat ID 131072

سطح تهدید و امتیاز

در این سناریو، FortiGate به‌صورت پیش‌فرض به این رویداد سطح تهدید: High و امتیاز تهدید: ۳۰ اختصاص می‌دهد. این عدد صرفاً یک مقدار قراردادی است و لزوماً نشان‌دهنده تهدید امنیتی واقعی نیست.

مثالی از چنین شرایطی می‌تواند زمانی باشد که سمت کلاینت یا سرور، پس از پایان یک ارتباط (Session) اقدام به ارسال بسته‌ای کنند. از آنجایی که ارتباط دیگر معتبر نیست، بسته توسط FortiGate رد می‌شود و لاگ مربوطه با شناسه ۱۳۱۰۷۲ ثبت خواهد شد.

اقدام اصلاحی

  • اگر ترافیک مسدودشده مجاز است، می‌توانید با بازنگری در پالیسی‌های فایروال، ترافیک مورد نظر را مجاز کنید.

  • در صورتی که این لاگ‌ها مربوط به ترافیک ناخواسته یا مشکوک باشند، نشان‌دهنده عملکرد صحیح سیاست‌های امنیتی شما هستند.

  • برای جلوگیری از گزارش‌ شدن این نوع رویدادها، می‌توانید Threat Weight مربوط به blocked connections را کاهش دهید یا سطح آن را تغییر دهید:

config log threat-weight
    set blocked-connection high
end

تفاوت با لاگ‌های UTM

در سیاست‌هایی که UTM فعال است، تهدیدهای واقعی با شناسه‌های متفاوت ثبت می‌شوند و اطلاعات دقیق‌تری در اختیار تیم امنیت قرار می‌گیرد. در مقابل، شناسه ۱۳۱۰۷۲ تنها برای ثبت رد ترافیک در حالت غیر UTM به‌کار می‌رود.

جمع‌بندی

ظاهر شدن شناسه تهدید ۱۳۱۰۷۲ در لاگ‌ها معمولاً جای نگرانی ندارد و نشان‌دهنده رد ساده یک اتصال است. با تحلیل دقیق این لاگ‌ها، می‌توان بین ترافیک غیرمجاز واقعی و محدودیت‌های ناشی از سیاست‌ها تمایز قائل شد.