在 FortiGate 上封鎖或隔離 IPS（入侵防禦系統）事件的來源 IP，

使用 FAZ 連動自動化腳本 (Automation Stitches)自動隔離攻擊的來源IP，另也可以把來源IP加入deny policy的來源IP群組，以下使用ban ip方式。

第一步：在 FortiAnalyzer 建立事件處理程序 (Event Handler)，(觸發告警時機)。

1. 進入 FortiSoC > Event Handlers(舊版FOS在Event Handlers)。

2. 建立新的 Handler，並定義過濾條件（例如：Log Type: IPS, Severity: Critical）。

3. 勾選啟用 FortiGate Automation Stitch。(IPS事件訊息

4. 傳回給連接的 FortiGate。)

新增rule

第二步：在 FortiGate 建立觸發條件 (Trigger)，FGT接收來自 FAZ 的訊息。

1. 進入 Security Fabric > Automation > Trigger。

2. 建立新的 Trigger，類型選擇 FortiAnalyzer Event Handler。

3. 在選單中選取剛才在 FAZ 建立的 Event Handler名稱。 

第三步：在 FortiGate 建立封鎖動作 (Action)

定義接收到訊息後隔離封鎖IP。

使用CLI Script：diagnose user banned-ip add src4 %%log.srcip%% 3600 admin

(註：3600 為秒數，%%log.srcip%%為IPS事件的來源IP) 

檢視FortiGate隔離清單，已有IPS入侵事件的IP被封鎖。

Event log查找Log ID 43776，可以在 Log中看到被封鎖 IP 的日誌：

Log id參考 https://docs-fortinet-com.translate.goog/document/fortigate/7.2.2/fortios-log-message-reference/43776/43776-log-id-event-nac-quarantine?_x_tr_sl=en&_x_tr_tl=zh-TW&_x_tr_hl=zh-TW&_x_tr_pto=sc

在資安設備（如圖中）攔截到惡意攻擊後，進行「Abuse（濫用）申訴」是指向該攻擊源 IP 的所屬單位（通常是 ISP 或雲端服務商）。

以下是這次的 Abuse 申訴流程：

1. 蒐集證據 (Evidence Collection)

在進行申訴前，需要從 資安設備或伺服器匯出或截圖關鍵證據：

• 攻擊源 IP： 如圖中的 165.227.132.28。

• 攻擊時間： 包含日期、時間與時區（UTC 或在地時區）。

• 攻擊類型： 說明是掃描、暴力破解還是大量連線（圖中顯示 blocked-connection）。

從這張圖表來看，安全設備的監控介面，顯示網路中存在大量的被拒絕連線 (blocked-connection) 事件。 

"blocked-connection"： 這通常代表流量因為觸發了防火牆的 拒絕策略 (Deny Policy) 而被阻擋。

• 威脅 ID 131072： 在 Fortinet 日誌中，這是一個特定的編號，用來標記被防火牆策略直接阻斷（而非被掃毒或入侵檢測系統阻斷）的流量。

• 常見原因： 可能是未授權的存取嘗試、過期的連線請求，或者是使用者未通過入口網頁 (Captive Portal) 認證就嘗試連網。 

• 威脅分數 (Threat Score)： 數值高達 212,030。這是根據「風險等級 × 事件次數」累加而成的。由於單次阻斷的預設權重通常很高，大量阻斷會導致分數飆升。

• 來源 IP (165.227.132.28)： 此 IP 產生了 2,385 次事件，貢獻了大部分的威脅分數。

• 來源介面 (wan2)： 顯示這些流量是從外部網際網路 (WAN) 嘗試進入。 

查詢每小時高達降將近2500次攻擊

2. 查詢申訴管道 (Finding the Abuse Contact)

找出該 IP 歸誰管。可以使用whois工具查詢：

• Whois 查詢： 使用 ARIN、APNIC 或 IPinfo 搜尋該 IP。

• 尋找 Abuse Email： 在查詢結果中尋找 abuse-mailbox 或 abuse@... 的電子郵件位址。

• 查詢結果: IP 165.227.132.28 屬於 DigitalOcean，該組織有提供ABUSE申訴網址。

Whois:

3. 開啟申訴網址abuse reports at https://www.digitalocean.com/company/contact/#abuse，提交申訴(Submitting the Report)。

若查詢結果無abuse網址，需撰寫一封簡單明瞭的英文郵件（大部分國際 ISP 僅收英文申訴），內容包含：

• 主旨： Abuse Report: [攻擊類型] from IP [來源IP]

• 內文：

  • 說明您的系統在什麼時間偵測到來自該 IP 的惡意行為。

  • 附上攔截次數（如圖顯示已攔截 2,385 次）。

  • 貼上原始日誌作為佐證。

提交申訴之後，

收到系統回覆案件已成立，並且有ticket號碼11790601。

申訴送出後很快收到處理回信:

這次處理對方處理效率很快，從申訴到完成處理並回覆大約五個半小時。

後續再觀察以下兩點來確認風險是否解除：

• 流量趨勢：明顯下降趨勢，說明攻擊力道正在減弱。

• 持續監控： 雖然 IP 已被阻斷，但若該 IP 仍持續產生數千次請求，建議在防火牆最頂端加入一條 黑名單策略 (Blacklist) 或使用 Local-in Policy，直接在底層丟棄流量，以減輕防火牆處理日誌與分數計算的效能負擔。

Http://www.2ns.org/