Fortinet FortiSIEM

FortiSIEM został zaprojektowany jako kręgosłup SOC / CSIRT, zapewniając różne możliwości, od automatycznego tworzenia spisu zasobów (inventory of assets) po stosowanie najnowocześniejszych analiz behawioralnych w celu szybkiego wykrywania zagrożeń i reagowania na nie. FortiSIEM to jedyna w branży platforma operacji bezpieczeństwa z w pełni wbudowaną bazą danych zarządzania konfiguracją (CMDB).

Nowoczesny SOC wymaga SIEM, który obsługuje więcej niż agregację logów, proste reguły korelacji, wyszukiwanie i raportowanie zgodności. FortiSIEM opiera się na tych podstawach, aby zapewnić unikalne możliwości spełniające dzisiejsze potrzeby SecOps.

Fortinet opracował architekturę, która umożliwia ujednolicone gromadzenie i analizę danych z różnych źródeł informacji, w tym dzienników, wskaźników wydajności, pułapek SNMP, alertów bezpieczeństwa i zmian konfiguracji. FortiSIEM zasadniczo wykorzystuje analitykę tradycyjnie monitorowaną w oddzielnych silosach – SOC i NOC – i łączy te dane, aby uzyskać kompleksowy obraz bezpieczeństwa i dostępności firmy. Każda informacja jest przekształcana w zdarzenie, które jest najpierw analizowane, a następnie wprowadzane do silnika analitycznego opartego na zdarzeniach w celu monitorowania wyszukiwań, reguł, pulpitów nawigacyjnych i zapytań ad hoc w czasie rzeczywistym.

FortiSIEM wykorzystuje uczenie maszynowe do wykrywania nietypowych zachowań użytkowników i podmiotów (UEBA) bez konieczności pisania przez Administratora skomplikowanych reguł. FortiSIEM pomaga identyfikować zagrożenia wewnętrzne i nadchodzące, które przechodzą przez tradycyjne zabezpieczenia. Alerty o wysokiej dokładności pomagają ustalić priorytety zagrożeń wymagających natychmiastowej uwagi.

Ocena ryzyka użytkownika i urządzenia

FortiSIEM tworzy oceny ryzyka użytkowników i urządzeń, które mogą rozszerzyć reguły UEBA i inne analizy. Oceny ryzyka oblicza się poprzez połączenie kilku punktów danych dotyczących użytkownika i urządzenia. Oceny ryzyka użytkownika i urządzenia są wyświetlane na ujednoliconym panelu ryzyka jednostki.

Rozproszona korelacja zdarzeń w czasie rzeczywistym 

Korelacja zdarzeń rozproszonych jest trudnym problemem, ponieważ wiele węzłów musi dzielić się swoimi stanami częściowymi w czasie rzeczywistym, aby wyzwolić regułę. Chociaż wielu dostawców rozwiązań SIEM udostępnia możliwości rozproszonego gromadzenia danych i wyszukiwania rozproszonego, Fortinet jest jedynym dostawcą oferującym rozproszony silnik korelacji zdarzeń w czasie rzeczywistym. Złożone wzorce zdarzeń można wykryć w czasie rzeczywistym. Ten opatentowany algorytm umożliwia FortiSIEM obsługę dużej liczby reguł w czasie rzeczywistym przy dużej liczbie zdarzeń, co pozwala przyspieszyć wykrywanie.

Zautomatyzowane wykrywanie infrastruktury i aplikacji w czasie rzeczywistym (CMDB)

Szybkie rozwiązywanie problemów wymaga kontekstu infrastrukturalnego. Większość dostawców analiz logów i SIEM wymaga od administratorów ręcznego zapewnienia kontekstu, co szybko staje się nieaktualne i jest bardzo podatne na błędy ludzkie. Firma Fortinet opracowała inteligentny silnik wykrywania infrastruktury i aplikacji, który umożliwia wykrywanie zarówno infrastruktury fizycznej, jak i wirtualnej, lokalnej oraz w chmurach publicznych/prywatnych, po prostu przy użyciu danych uwierzytelniających, bez wcześniejszej wiedzy o urządzeniach lub aplikacjach. Aktualna baza danych CMDB (Centralizowana baza danych zarządzania) umożliwia zaawansowaną analizę zdarzeń uwzględniającą kontekst, wykorzystującą obiekty CMDB w warunkach wyszukiwania.

Dynamiczne mapowanie tożsamości użytkownika

Kluczowym kontekstem analizy logów jest połączenie tożsamości sieciowej (adres IP, adres MAC) z tożsamością użytkownika (nazwa dziennika, imię i nazwisko, rola w organizacji). Informacje te stale się zmieniają, ponieważ użytkownicy uzyskują nowe adresy za pośrednictwem DHCP lub VPN. Fortinet opracował metodologię dynamicznego mapowania tożsamości użytkowników. Użytkownicy i ich role są wykrywane z repozytoriów lokalnych lub Cloud SSO. Tożsamość sieci jest identyfikowana na podstawie ważnych zdarzeń sieciowych. Następnie dodawana jest tożsamość geograficzna, aby utworzyć dynamiczną ścieżkę audytu tożsamości użytkownika. Ta metoda umożliwia tworzenie polityk lub przeprowadzanie dochodzeń w oparciu o tożsamość użytkownika, a nie adresy IP, co pozwala na szybkie rozwiązywanie problemów.

UEBA

UEBA oparta na agentach FortiSIEM umożliwia gromadzenie danych o wysokim poziomie odzwierciedlenia działań użytkowników, obejmujących użytkownika, proces, urządzenie, zasoby i zachowanie. Stosowanie podejścia opartego na agentach pozwala na zbieranie danych telemetrycznych, gdy punkt końcowy znajduje się w sieci firmowej i poza nią, zapewniając pełniejszy obraz aktywności użytkownika. Telemetria UEBA umożliwia identyfikację nieznanych złych działań, które można zaalarmować i podjąć odpowiednie działania

Architektura „multi-tenant”

Firma Fortinet opracowała wysoce konfigurowalną architekturę obejmującą wielu dzierżawców („tenantów”) która umożliwia przedsiębiorstwom i dostawcom usług zarządzanie dużą liczbą domen fizycznych/logicznych oraz nakładających się systemów i sieci z jednego pojedyncza konsola. W tym środowisku bardzo łatwo jest korelować informacje w domenach fizycznych i logicznych oraz w sieciach poszczególnych klientów. Dla każdego z nich można z łatwością tworzyć unikalne raporty, reguły i pulpity nawigacyjne, z możliwością wdrożenia ich w szerokim zestawie domen raportowania i klientów. Zasady archiwizacji zdarzeń można także wdrożyć dla poszczególnych domen lub klientów. Szczegółowa kontrola RBAC umożliwia różne poziomy dostępu administratorom i najemcom/klientom. W przypadku dużych dostawców usług MSSP moduły Collectors można skonfigurować jako obsługujące wielu dzierżawców, aby zmniejszyć ogólny rozmiar wdrożenia.