FortiSIEM преглед и алтернативи
TheFortiSIEMсистемата е aИнформация за сигурността и управление на събития(SIEM) пакет. SIEM е комбинация от две методологии за защита на сигурността: управление на информацията за сигурност (SIM) и управление на събитията за сигурност (SEM).
Какво е SIEM?
SIM системите проверяват регистрационните записи, за да търсят модели, които показват подозрителна дейност. SEM методите наблюдават събития в реално време, като модели на мрежовия трафик и потребителски дейности.
Всеки метод има своите слабости. Например SIM открива проникване или вътрешни заплахи след факта. Тази стратегия за сигурност е много ефективна при откриване на злонамерена дейност, като например кражба на данни, но само след като щетите вече са нанесени. SEM е мигновен и има по-голям шанс да блокира вредните дейности на злодеи, преди да е станало твърде късно. Въпреки това незабавните данни, наблюдавани на едно място, често не откриват скрити нападатели. Едва когато информацията за няколко привидно несвързани събития на различни места е свързана заедно, проникването се разкрива.
Комбинацията от SIM и SEM в SIEM създава много по-силна стратегия за защита – силните страни на SIM компенсират слабостите в SEM и обратно.
Относно FortiSIEM
Фортинетима силен опит в областта на киберсигурността и системната защита, така че, естествено, компанията трябва да пусне SIEM продукт. FortiSIEM разполага с цялата хитрост на комбинирания подход на SIEM, подкрепен с целия опит на Fortinet.
FortiSIEM започна живота си като AccelOps, SIEM решение, произведено от компания със същото име. Компанията се занимава с анализ и проучване на заплахи за сигурността, предлагайки разузнаване и консултации, както и софтуера SIEM. Fortinet закупи AccelOps през юни 2016 г. Експертният опит на AccelOps се интегрира добре с екипа на Fortinet и основният продукт на новото дъщерно дружество беше лансиран отново като FortiSIEM.
Свързана публикация: Най-добрите анализатори на Fortinet
Преглед на функциите на FortiSIEM
Като SIEM система, FortiSIEM прилага набор от стратегии за откриване на заплахи едновременно. Ето някои от ключовите действия на защитната рамка.
Комбиниран мониторинг на сигурността и работата на мрежата
Освен че проверява регистрационни файлове за известия за транзакции, когато търси необичайна дейност, FortiSIEM използва информация от източници на данни. Тези източници на данни обикновено се използват за наблюдение на производителността на мрежата, а именно сигнали от Simple Network Management Protocol (SNMP traps).
За да внедри SEM частта на SIEM, FortiSIEM трябва да следи трафика, циркулиращ в мрежата, търсейки подозрителна дейност. На практика това засенчва функциите на всяка стандартна система за наблюдение на мрежата.
Мониторинг на промените в конфигурацията на устройството и софтуера
Мрежовото оборудване трябва да бъде защитено срещу уязвимости при атаки. Хакерите знаят това и редовно проучват начини за промяна на конфигурациите на устройството, за да улеснят незабелязания достъп до мрежата. FortiSIEM открива и обръща тези промени.
Внедряване на техники за машинно обучение с изкуствен интелект
Софтуерът за сигурност рядко получава перфектния шаблон за типично потребителско поведение от кутията. FortiSIEM започва работа със стандартен профил на очакваното потребителско поведение, но го коригира с течение на времето чрез процес на машинно обучение. Това установява базова линия на разумна дейност. След това отклонението от този стандарт се маркира като необичайно – това се нарича Анализ на поведението на потребителите и субектите (UEBA).
Оценка на риска
Пробивът на някои устройства би бил по-катастрофален от този на други. FortiSIEM отчита този факт чрез оценяване на риска, което позволява засилване на мониторинга за критични части от мрежовото оборудване. Същото приоритизиране се прилага и за потребителски акаунти и потребителски роли.
Корелация на разпределени събития в реално време
Една ефективна SIEM система трябва да компилира данни за събития, извлечени от много различни места в мрежата. Обикновено тази задача се изпълнява върху данни, извлечени от регистрационни файлове, които предлагат ретроспективна информация. Скрит нарушител може да подкопае сигурността на системата чрез поредица от привидно безобидни действия.
Сложен списък от правила за откриване помага да се идентифицират типични комбинации от действия, които показват заплаха. За разлика от повечето SIEM услуги, FortiSIEM може да работи със своите правила за комбиниране на дейности – наречени „корелации на събития“ – в реално време, вместо да чака записите да бъдат записани в лог файлове.
База данни за автоматично откриване и управление на конфигурацията
FortiSIEM управлява система за откриване на мрежа, която търси всички устройства, свързани към защитената мрежа, съставяйки инвентаризация на активи от своите открития. Този инвентар се поддържа в реално време, така че всички промени в инвентара на оборудването се отбелязват автоматично.
Тази услуга ще зарадва особено фирмите, които следват стандартите на ITIL, защото автоматично създава база данни за управление на конфигурацията (CMDB). CMDB е централна за процеса на управление на конфигурацията на ITIL управление на активи.
Картографиране на самоличността на потребителя
Благодарение на DHCP идентифицирането на потребителите по IP адрес не е лесно. Системи, които допускат външни потребители, като клиенти или отдалечени работници, също имат затруднения, когато се опитват да идентифицират лица. Добавете вариациите в IP адресите, които VPN и IP превключвателите създават, и може да бъде наистина трудно да свържете заедно всички действия на един потребител.
Дори потребителските акаунти и системното удостоверяване понякога могат да бъдат измамени и предварително удостоверените гости са в състояние да предизвикат хаос, без да влизат. FortiSIEM използва проследяване на MAC адрес и други техники за пръстови отпечатъци, за да премахне зависимостта от IP адреса като единствен идентификатор на всеки потребител или посетител .
Разбор на дневник
Разборът на регистрационни файлове е централната SEM стратегия на всяка SIEM система, но качеството на SIEM софтуера може да бъде сериозно влошено от неефективни и бавни текстови търсения. Fortinet усъвършенства своята методология за търсене на журнали за FortiSIEM с патентована система за анализ на журнали.
Интелигентни канали за заплахи
Fortinet управлява FortiGuard Labs, която изследва нови кибератаки и вируси. Разузнавателните данни за заплахи, произведени от FortiGuard, се подават във всички работещи екземпляри на FortiSIEM по целия свят.
Fortinet също компилира „индикатори за компрометиране“, които свързват заедно атаки, произведени от едни и същи хакерски групи, което води до знанието за атаки, които биха могли да последват от първоначален опит за проникване или инфекция.
Опции за конфигуриране на FortiSIEM
FortiSIEM се предлага в три конфигурации:
- Мрежово устройство
- Локален софтуер
- Облачна услуга
Всяка опция има своите предимства и недостатъци.
Уред FortiSIEM
Мрежовото устройство е подобно на хардуерна защитна стена. Просто се включва в мрежата като всяко друго устройство. Като участник в мрежата, той може да взема проби от целия преминаващ трафик, подобно на снифър за пакети.
Предимството на използването на хардуерната опция е, че устройството включва памет и процесори, така че не натоварва никакви съществуващи сървъри и не изисква допълнително дисково пространство. Това обаче е най-скъпият от трите варианта на FortiSIEM.
Има три модела на устройството FortiSIEM:
- FortiSIEM 500F – 5000 събития в секунда, 3 TB памет
- FortiSIEM 2000F – 15 000 събития в секунда, 36 TB памет
- FortiSIEM 3500F – 30 000 събития в секунда, 72 TB памет
Ясно е, че колкото по-голям е моделът, толкова по-висока е цената му. Важно е да получите ясна оценка на пропускателната способност на вашия мрежов трафик, преди да поръчате едно от тези устройства. Това е така, за да не плащате надплащане за ненужен капацитет, нито да осигурявате мрежовия ви трафик да бъде напълно анализиран.
Локален софтуер
Софтуерната опция не е толкова проста, колкото просто инсталиране на изтегляне на сървъра. Услугата FortiSIEM изисква наличието на хипервайзор, който да я поддържа. Системата ще работи върху VMWare vSphere, KVM, Microsoft Hyper-V и OpenStack.
Ако вече имате инсталирана и работеща една от тези системи, софтуерната опция е много привлекателна, защото има много малко допълнителни изисквания за вътрешни умения, за да работите с нея. Ако в момента нямате никаква виртуализация на сървърите си, работата на хипервайзор ще бъде допълнителна задача, в която може да не сте готови да инвестирате.
Облачна услуга
Опцията, базирана на хостван облак, е най-лесният начин да се спуснете – тя не изисква никакъв специализиран хардуер и нямате нужда от специални техници, за да я използвате. Някои фирми обаче все още са предпазливи относно възлагането на хардуер и софтуер на външни изпълнители по модела „Софтуер като услуга“ (SaaS), тъй като изглежда, че позволяването на данните за системата да напуснат сградата неизбежно ще отслаби сигурността.
Сигурността на предаването се покрива от криптиране, така че хакерите са блокирани от прихващане на комуникации между вашия сайт и облачния сървър на Fortinet, където се извършва анализът.
Табло
Потребителската конзола на системата FortiSIEM съчетава стандартни „екрани извън кутията“ и възможности за персонализирани екрани.
Стандартни екрани
Основните екрани, които всеки мрежов мениджър ще разглежда ежедневно, са обобщените екрани. Те показват статистически данни на живо относно ефективността на инфраструктурата на компанията.
Има екран за мрежата и един за сървъри, които могат да се превключват, за да се фокусира върху всеки сървър. Има и екрани за виртуализации; този раздел е особено важен за онези фирми, които използват софтуера FortiSIEM на място. Това е така, защото услугата SIEM разчита на тази виртуална машина за своята операционна система.
Освен екраните за цялостно наблюдение на системата, има отделни екрани, които проверяват дейността на конкретни приложения и услуги. Те ще бъдат активирани само ако проверката за автоматично откриване на FortiSIEM открие наличието на тези системи. Примери за такива функции включват Office 365 и Amazon Web Services.
Обобщените екрани дават разширен достъп до детайлните екрани. Всички стандартни екрани на услугата представят данни във формат на електронна таблица. Данните могат да бъдат сортирани по всяка колона на дисплея и също така извлечени в помощните програми за анализ.
Екрани с възможност за персонализиране
Частите от таблото за управление на FortiSIEM, които могат да бъдат персонализирани, се наричат „екрани с джаджи“. Уиджетът е панел за представяне на данни. Потребителят може да реши коя част от информацията ще бъде показана в панела и как ще бъде представена. Това може да бъде списък, графика или диаграма.
Оформлението на екрана с джаджи е по-привлекателно и позволява смесени източници на информация. Тъй като мрежовите мениджъри се чувстват по-комфортно с различните административни екрани на системата FortiSIEM, те ще започнат да сглобяват екрани с джаджи и да ги използват вместо стандартните екрани.
Смекчаване на атаката
FortiSIEM не просто открива подозрителни дейности; може също да предприеме автоматично действие, за да блокира тези движения. Услугата може да взаимодейства с няколко помощни програми в мрежа, като защитни стени и системи за права на достъп, за да блокира IP адрес от достъп до мрежата или да изключи потребителски акаунт. Системата SIEM може да комуникира директно с отделни устройства, за да възстанови конфигурациите и да защити регистрационните файлове от подправяне.
Отчитане на съответствието
Пакетът FortiSIEM включва формати за отчети, които са необходими за доказване на съответствие с PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Critical Controls, COBIT, ITIL, ISO 27001, NERC, NIST800-53, NIST800- 171 и NESA. Можете да намерите още подробности в листа с данни .
Най-добрите алтернативи на FortiSIEM
FortiSIEM в никакъв случай не е единствената SIEM система, налична на пазара днес. За по-подробна информация относно това как работят SIEM системите, моля, вижте нашата публикация на Най-добрите SIEM инструменти .
Ето нашия списък с най-добрите алтернативи на FortiSIEM:
- SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) SIEM инструмент от SolarWinds, който е водещият доставчик на инструменти за управление на инфраструктурата. Този инструмент се интегрира с инструменти за наблюдение на мрежата SolarWinds и работи на Windows Server. Започнете 30-дневен безплатен пробен период.
- ManageEngine EventLog Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ) Анализ на лог файл, който предоставя SIM; добавете към OpManager за SEM. Инсталира се на Windows, Windows Server и Linux. Достъп до 30-дневния безплатен пробен период.
- Мониторинг на сигурността на Datadog Облачно базирана система за наблюдение на мрежата с интегрирана SIEM функция.
- Splunk Enterprise Security Мониторинг на мрежата с управление на журнали плюс инструмент за анализ. Инсталира се на Windows и Linux.
- OSSEC Безплатна система за откриване на проникване с отворен код, която се фокусира върху анализ на регистрационни файлове. Работи на Windows, Mac OS, Linux и Unix.
- LogRhythm NextGen SIEM платформа Базиран на изкуствен интелект инструмент за анализ на трафик и регистрационни файлове. Инсталира се на Windows и Linux.
- AT&T Cybersecurity AlienVault Unified Security Management Многостратегически IDS и SIEM. Работи както на Mac OS, така и на Windows.
- RSA NetWitness Анализ на мрежовия трафик за SIEM, насочен към големи предприятия. Работи на виртуална машина.
- IBM QRadar SIEM инструмент с оценка на риска и моделиране на атаки. Работи на Windows Server.
- McAfee Enterprise Security Manager SIEM инструмент, който взаимодейства с Active Directory. Работи както на Mac OS, така и на Windows.
ЧЗВ за FortiSIEM
Как FortiSIEM поддържа мултинаем?
FortiSIEM поддържа мулти-наемане при внедряване на доставчик на услуги. Собственикът на акаунта трябва да активира тази настройка и след това да идентифицира източниците на данни. По време на този процес системата FortiSIEM инсталира агенти за събиране на данни на сайтовете, разпределени към клиентския акаунт. Тази информация се зарежда само в клиентския подакаунт в потребителското табло.
Как да добавя устройство към FortiSIEM?
Не би трябвало да е необходимо да добавяте устройство към FortiSIEM ръчно, тъй като услугата изпълнява рутинна процедура за откриване, която автоматично открива всички устройства. Тази функция се повтаря периодично, така че ако не видите новото устройство веднага, изчакайте до следващото системно почистване, за да се появи. Ако по някаква причина все още трябва ръчно да добавите устройство, можете да го направите, като отидете на таблото за управление на Supervisor. Кликнете върху CMDB , погледнете в Изглед на устройството раздел и щракнете върху устройства . Погледнете категорията на устройството, която се отнася до вашето ново оборудване и щракнете върху Nw. Това извежда формуляр, който да попълните с подробности за устройството.
Как да добавя FortiGate към FortiSIEM?
Първо проверете дали FortiGate е настроен да събира типовете информация, от които FortiSIEM се нуждае. След това преминете към настройката на FortiSIEM:
- Влезте във FortiGate като администратор и отидете на мрежа на Система меню.
- редактиране интерфейса, който ще използвате за FortiSIEM. Под Административен достъп , гарантира, че SSH и SNMP са избрани. Натиснете OK.
- Отидете на Config в системното меню и изберете SNMP v1/v2c.
- Кликнете Създай нов за да активирате публичен общност.
Преминете към FortiSIEM. Когато процесът на откриване се изпълнява, той трябва да идентифицира устройството FortiGate и да го използва като източник на данни.