FortiSIEM Recenze a alternativy
TheFortiSIEMsystém je aBezpečnostní informace a správa událostí(SIEM) balíček. SIEM je kombinací dvou metod ochrany zabezpečení: Security Information Management (SIM) a Security Event Management (SEM).
Co je SIEM?
Systémy SIM prozkoumají záznamy protokolů, aby hledaly vzory, které naznačují podezřelou aktivitu. Metody SEM sledují události v reálném čase, jako jsou vzorce síťového provozu a aktivity uživatelů.
Každá metoda má své slabiny. SIM karta například detekuje narušení nebo vnitřní hrozby až poté. Tato bezpečnostní strategie je velmi účinná při odhalování škodlivé činnosti, jako je krádež dat, ale pouze poté, co již byla škoda způsobena. SEM je okamžitý, a tak má větší šanci zablokovat škodlivé aktivity darebáků, než bude příliš pozdě. Okamžitá data monitorovaná na jednom místě však často neodhalí kradmé útočníky. Narušení je odhaleno pouze tehdy, když jsou informace o několika zdánlivě nesouvisejících událostech na různých místech propojeny.
Kombinace SIM a SEM do SIEM vytváří mnohem silnější strategii ochrany – silné stránky SIM kompenzují slabé stránky SEM a naopak.
O FortiSIEM
Fortinetmá silné zkušenosti v oblasti kybernetické bezpečnosti a obrany systému, takže by společnost přirozeně měla uvést na trh produkt SIEM. FortiSIEM má veškerou lstivost kombinovaného přístupu SIEM podpořenou veškerými odbornými znalostmi společnosti Fortinet.
FortiSIEM začal život jako AccelOps, řešení SIEM vyrobené společností stejného jména. Společnost se zabývá analýzou a výzkumem bezpečnostních hrozeb, nabízí zpravodajství a poradenství a také software SIEM. Fortinet koupil AccelOps v červnu 2016. Odborné znalosti AccelOps se dobře integrovaly do týmu Fortinet a hlavní produkt nové dceřiné společnosti byl znovu uveden na trh jako FortiSIEM.
Související příspěvek: Nejlepší analyzátory Fortinet
Přehled funkcí FortiSIEM
Jako systém SIEM implementuje FortiSIEM řadu strategií detekce hrozeb současně. Zde jsou některé z klíčových akcí bezpečnostního rámce.
Kombinované zabezpečení a monitorování provozu sítě
Kromě zkoumání protokolů pro oznámení o transakcích při hledání neobvyklé aktivity využívá FortiSIEM informace ze zdrojů dat. Tyto zdroje dat se obvykle používají pro monitorování výkonu sítě, konkrétně výstrahy protokolu Simple Network Management Protocol (SNMP trap).
Pro implementaci SEM části SIEM musí FortiSIEM sledovat provoz cirkulující v síti a hledat podezřelou aktivitu. Účinně to zastíní funkce jakéhokoli standardního systému monitorování sítě.
Sledování změn konfigurace zařízení a softwaru
Síťová zařízení musí být posílena proti zranitelnosti útoků. Hackeři to vědí a pravidelně zkoumají způsoby, jak změnit konfiguraci zařízení, aby byl nedetekovaný přístup k síti snazší. FortiSIEM tyto změny detekuje a ruší.
Nasazení technik strojového učení AI
Bezpečnostní software jen zřídka dostane dokonalou šablonu typického uživatelského chování hned po vybalení. FortiSIEM zahajuje operace se standardním profilem očekávaného uživatelského chování, ale postupem času jej upravuje pomocí procesu strojového učení. To vytváří základní linii rozumné aktivity. Odchylka od tohoto standardu je poté označena jako neobvyklá – nazývá se to User and Entity Behavior Analytics (UEBA).
Bodování rizika
Narušení některých zařízení by bylo katastrofálnější než porušení jiných. FortiSIEM tuto skutečnost zohledňuje prostřednictvím bodování rizik, které umožňuje zvýšit monitorování kritických částí síťového zařízení. Stejná priorita se provádí také pro uživatelské účty a uživatelské role.
Korelace distribuovaných událostí v reálném čase
Efektivní systém SIEM potřebuje kompilovat data událostí čerpaná z mnoha různých míst v síti. Obvykle se tento úkol provádí na datech čerpaných ze souborů protokolu, které nabízejí retrospektivní informace. Neviditelný vetřelec může narušit zabezpečení systému řadou zdánlivě neškodných akcí.
Propracovaný seznam pravidel detekce pomáhá identifikovat typické kombinace akcí, které indikují hrozbu. Na rozdíl od většiny služeb SIEM je FortiSIEM schopen pracovat se svými kombinačními pravidly aktivit – nazývanými „korelace událostí“ – v reálném čase místo čekání na zápis záznamů do log souborů.
Autodiscovery a databáze pro správu konfigurace
FortiSIEM provozuje systém zjišťování sítě, který vyhledává všechna zařízení připojená k chráněné síti a ze svých zjištění sestavuje inventář aktiv. Tento inventář je udržován v reálném čase, takže veškeré změny v inventáři vybavení jsou automaticky zaznamenány.
Tato služba potěší zejména podniky, které dodržují standardy ITIL, protože automaticky vytváří databázi pro správu konfigurace (CMDB). CMDB je ústředním prvkem procesu Configuration Management správy aktiv ITIL.
Mapování identity uživatele
Díky DHCP není identifikace uživatelů podle IP adresy jednoduchá. Systémy, které přijímají externí uživatele, jako jsou zákazníci nebo vzdálení pracovníci, mají také potíže s identifikací jednotlivců. Přidejte variace v IP adresách, které VPN a IP přepínače vytvářejí, a může být opravdu obtížné spojit všechny akce jednoho uživatele.
Dokonce i uživatelské účty a systémová autentizace mohou být někdy podvedeny a předem ověření hosté mohou způsobit zkázu bez přihlášení. FortiSIEM používá sledování MAC adresy a další techniky snímání otisků prstů, aby se přestalo spoléhat na IP adresu jako na jediný identifikátor každého uživatele nebo návštěvníka. .
Analýza protokolu
Analýza protokolu je ústřední strategií SEM jakéhokoli systému SIEM, ale kvalita softwaru SIEM může být vážně narušena neefektivním a pomalým textovým vyhledáváním. Fortinet posílil svou metodiku vyhledávání protokolů pro FortiSIEM patentovaným systémem analýzy protokolů.
Inteligence o hrozbách se živí
Fortinet provozuje FortiGuard Labs, která zkoumá nové kybernetické útoky a viry. Informace o hrozbách produkované FortiGuardem jsou dodávány do všech běžících instancí FortiSIEM po celém světě.
Fortinet také sestavuje „indikátory kompromisu“, které spojují útoky vytvořené stejnými hackerskými skupinami, což vede k poznání útoků, které by mohly následovat po počátečním pokusu o narušení nebo infekci.
Možnosti konfigurace FortiSIEM
FortiSIEM je k dispozici ve třech konfiguracích:
- Síťové zařízení
- Místní software
- Cloudová služba
Každá možnost má své výhody a nevýhody.
Zařízení FortiSIEM
Síťové zařízení je podobné hardwarové bráně firewall. Jednoduše se zapojí do sítě jako každé jiné zařízení. Jako účastník sítě je schopen vzorkovat veškerý procházející provoz, podobně jako sniffer paketů.
Výhodou použití hardwarové možnosti je, že zařízení obsahuje paměť a procesory, takže nezatěžuje žádné existující servery a nevyžaduje žádné další místo na disku. Toto je však nejdražší ze tří možností FortiSIEM.
Existují tři modely zařízení FortiSIEM:
- FortiSIEM 500F – 5 000 událostí za sekundu, úložiště 3 TB
- FortiSIEM 2000F – 15 000 událostí za sekundu, 36 TB úložiště
- FortiSIEM 3500F – 30 000 událostí za sekundu, 72 TB úložiště
Je jasné, že čím větší model, tím vyšší cena. Před objednáním jednoho z těchto zařízení je důležité získat jasný odhad propustnosti síťového provozu. Je to proto, abyste nepřepláceli za nepotřebnou kapacitu ani nezajišťovali úplnou analýzu síťového provozu.
Místní software
Softwarová možnost není tak přímočará jako jen instalace stahování na server. Služba FortiSIEM vyžaduje přítomnost hypervizoru, který ji podporuje. Systém poběží nad VMWare vSphere, KVM, Microsoft Hyper-V a OpenStack.
Pokud již máte jeden z těchto systémů nainstalovaný a provozovaný, je softwarová varianta velmi atraktivní, protože má velmi malé dodatečné požadavky na interní dovednosti, aby jej bylo možné ovládat. Pokud v současné době nemáte na svých serverech žádnou virtualizaci, zprovoznění hypervizoru bude úkol navíc, do kterého možná nebudete připraveni investovat.
Cloudová služba
Hostovaná cloudová varianta je nejsnazší cestou – nevyžaduje žádný specializovaný hardware a k jejímu použití nepotřebujete specializované techniky. Některé podniky jsou však stále opatrné ohledně outsourcingu hardwaru a softwaru v rámci modelu Software jako služba (SaaS), protože se zdá, že povolení dat o systému opustit budovu nevyhnutelně oslabí zabezpečení.
Zabezpečení přenosu je kryto šifrováním, takže hackeři nemohou zachytit komunikaci mezi vaším webem a cloudovým serverem Fortinet, kde probíhá analýza.
Přístrojová deska
Uživatelská konzole systému FortiSIEM kombinuje standardní obrazovky „out of the box“ a možnosti přizpůsobených obrazovek.
Standardní obrazovky
Hlavní obrazovky, na které se každý správce sítě bude každodenně dívat, jsou souhrnné obrazovky. Ty zobrazují statistiky živých dat o výkonu firemní infrastruktury.
K dispozici je obrazovka pro síť a jedna pro servery, které lze přepnout a zaměřit se na každý server. Existují také obrazovky pro virtualizace; tato část je zvláště důležitá pro ty podniky, které provozují software FortiSIEM on-premise. Je to proto, že služba SIEM spoléhá ve svém operačním systému na tento virtuální počítač.
Kromě obrazovek celkového monitorování systému existují i jednotlivé obrazovky, které zkoumají činnost konkrétních aplikací a služeb. Ty budou aktivovány pouze v případě, že autodiscovery sweep FortiSIEM detekuje přítomnost těchto systémů. Příklady takových funkcí zahrnují Office 365 a Amazon Web Services.
Obrazovky shrnutí umožňují rozbalovací přístup k obrazovkám podrobností. Všechny standardní obrazovky služby představují data ve formátu tabulkového procesoru. Data lze třídit podle jednotlivých sloupců na displeji a také je extrahovat do analytických nástrojů.
Přizpůsobitelné obrazovky
Části řídicího panelu FortiSIEM, které lze přizpůsobit, se nazývají „obrazovky widgetů“. Widget je panel reprezentace dat. Uživatel se může rozhodnout, která část informace bude zobrazena v panelu a jak bude reprezentována. Může to být seznam, graf nebo tabulka.
Rozvržení obrazovky widgetu je atraktivnější a umožňuje různé zdroje informací. Jakmile se správci sítě více zorientují v různých administračních obrazovkách systému FortiSIEM, začnou skládat obrazovky widgetů a používat je namísto standardních obrazovek.
Zmírnění útoku
FortiSIEM nejen detekuje podezřelé aktivity; může také provést automatickou akci k zablokování těchto pohybů. Služba je schopna interagovat s několika nástroji v síti, jako jsou firewally a systémy přístupových práv, za účelem blokování IP adresy v přístupu k síti nebo uzavření uživatelského účtu. Systém SIEM může komunikovat přímo s jednotlivými zařízeními, aby obnovil konfigurace a chránil soubory protokolu před neoprávněnou manipulací.
Hlášení o shodě
Balíček FortiSIEM obsahuje formáty zpráv, které jsou nezbytné k prokázání shody s PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Critical Controls, COBIT, ITIL, ISO 27001, NERC, NIST800-53, NIST800- 171 a NESA. Více najdete podrobnosti v datovém listu .
Nejlepší alternativy FortiSIEM
FortiSIEM není zdaleka jediný systém SIEM dostupný na dnešním trhu. Podrobnější informace o tom, jak systémy SIEM fungují, naleznete v našem příspěvku na Nejlepší nástroje SIEM .
Zde je náš seznam nejlepších alternativ k FortiSIEM:
- Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Nástroj SIEM od společnosti SolarWinds, která je předním poskytovatelem nástrojů pro správu infrastruktury. Tento nástroj se integruje s nástroji pro monitorování sítě SolarWinds a běží na Windows Server. Začněte 30denní bezplatnou zkušební verzi.
- ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Analýza souborů protokolu, která poskytuje SIM; přidat do OpManager pro SEM. Instaluje se na Windows, Windows Server a Linux. Získejte přístup k 30denní bezplatné zkušební verzi.
- Monitorování zabezpečení Datadog Cloudový síťový monitorovací systém s integrovanou funkcí SIEM.
- Splunk Enterprise Security Monitorování sítě se správou protokolů a nástrojem pro analýzu. Instaluje se na Windows a Linux.
- OSSEC Bezplatný open-source systém detekce narušení, který se zaměřuje na analýzu protokolů. Běží na Windows, Mac OS, Linux a Unix.
- Platforma LogRhythm NextGen SIEM Nástroj pro analýzu provozu a protokolů založený na umělé inteligenci. Instaluje se na Windows a Linux.
- Jednotná správa zabezpečení AT&T Cybersecurity AlienVault Multistrategie IDS a SIEM. Běží na Mac OS i na Windows.
- RSA NetWitness Analýza síťového provozu pro SIEM zaměřená na velké podniky. Běží na VM.
- IBM QRadar Nástroj SIEM s hodnocením rizik a modelováním útoků. Běží na Windows Server.
- McAfee Enterprise Security Manager Nástroj SIEM, který spolupracuje se službou Active Directory. Běží na Mac OS i na Windows.
FortiSIEM FAQ
Jak FortiSIEM podporuje multi nájem?
FortiSIEM podporuje multi-tenancy v implementaci poskytovatele služeb. Majitel účtu musí toto nastavení aktivovat a poté identifikovat zdroje dat. Během tohoto procesu systém FortiSIEM nainstaluje agenty pro shromažďování dat na stránky přidělené klientskému účtu. Tyto informace se načtou pouze do klientského podúčtu v uživatelském panelu.
Jak přidám zařízení do FortiSIEM?
Nemělo by být nutné přidávat zařízení do FortiSIEM ručně, protože služba spouští vyhledávací rutinu, která automaticky detekuje všechna zařízení. Tato funkce se periodicky opakuje, takže pokud nové zařízení neuvidíte okamžitě, počkejte, až se objeví další systémový úklid. Pokud z nějakého důvodu stále potřebujete přidat zařízení ručně, můžete to provést na řídicím panelu správce. Klikněte na CMDB , podívejte se do Zobrazení zařízení sekce a klikněte na Zařízení . Podívejte se na kategorii zařízení, která se týká vašeho nového vybavení, a klikněte na Nw. Zobrazí se formulář, do kterého vyplníte podrobnosti o zařízení.
Jak přidám FortiGate do FortiSIEM?
Nejprve zkontrolujte, zda je FortiGate nastaveno pro shromažďování typů informací, které FortiSIEM potřebuje. Poté přejděte k nastavení FortiSIEM:
- Přihlaste se do FortiGate jako správce a přejděte na Síť na Systém Jídelní lístek.
- Upravit rozhraní, které budete používat pro FortiSIEM. Pod Administrativní přístup , ujisti se že SSH a SNMP jsou vybrány. Klepněte na tlačítko OK.
- Přejděte na Config v nabídce Systém a vyberte SNMP v1/v2c.
- Klikněte Vytvořit nový povolit veřejnost společenství.
Přejděte na FortiSIEM. Když proces Discovery běží, měl by identifikovat zařízení FortiGate a použít ho jako zdroj dat.