FortiSIEM anmeldelse og alternativer
DetFortiSIEMsystemet er enSikkerhedsinformation og Event Management(SIEM) pakke. SIEM er en kombination af to sikkerhedsbeskyttelsesmetoder: Security Information Management (SIM) og Security Event Management (SEM).
Hvad er SIEM?
SIM-systemer undersøger logposter for at lede efter mønstre, der indikerer mistænkelig aktivitet. SEM-metoder ser hændelser i realtid, såsom netværkstrafikmønstre og brugeraktiviteter.
Hver metode har sine svagheder. For eksempel registrerer SIM indtrængen eller insidertrusler efter kendsgerningen. Denne sikkerhedsstrategi er meget effektiv til at opdage ondsindet aktivitet, såsom datatyveri, men kun efter at skaden allerede er sket. SEM er øjeblikkelig, og har derfor en bedre chance for at blokere de skadelige aktiviteter for miscreatives, før det er for sent. Imidlertid opdager øjeblikkelige data, der overvåges ét sted, ofte ikke snigende angribere. Det er først, når oplysninger om flere tilsyneladende uafhængige begivenheder på forskellige steder kædes sammen, at indtrængen afsløres.
Kombinationen af SIM og SEM til SIEM skaber en meget stærkere beskyttelsesstrategi – SIM-kortets styrker opvejer svaghederne i SEM og omvendt.
Om FortiSIEM
Fortinethar en stærk track record inden for cybersikkerhed og systemforsvar, så virksomheden bør naturligvis lancere et SIEM-produkt. FortiSIEM har hele svindlen af SIEM's kombinerede tilgang bakket op med al Fortinets ekspertise.
FortiSIEM startede livet som AccelOps, en SIEM-løsning produceret af en virksomhed af samme navn. Virksomheden beskæftigede sig med analyse og forskning af sikkerhedstrusler og tilbyder efterretninger og rådgivning samt SIEM-softwaren. Fortinet købte AccelOps i juni 2016. AccelOps' ekspertise integrerede sig godt med Fortinet-teamet, og det nye datterselskabs hovedprodukt blev relanceret som FortiSIEM.
Relateret indlæg: De bedste Fortinet-analysatorer
FortiSIEM funktioner oversigt
Som et SIEM-system implementerer FortiSIEM en række trusselsdetektionsstrategier samtidigt. Her er nogle af nøglehandlingerne i sikkerhedsrammen.
Kombineret sikkerhed og netværksdriftsovervågning
Udover at undersøge logfiler for notifikationer om transaktioner, når de leder efter usædvanlig aktivitet, udnytter FortiSIEM information fra datakilder. Disse datakilder bruges typisk til overvågning af netværkets ydeevne, nemlig advarsler fra Simple Network Management Protocol (SNMP-fælder).
For at implementere SEM-delen af SIEM skal FortiSIEM holde øje med den trafik, der cirkulerer på netværket, på udkig efter mistænkelig aktivitet. Dette skygger effektivt for funktionerne i ethvert standard netværksovervågningssystem.
Overvågning af enheds- og softwarekonfigurationsændringer
Netværksudstyr skal hærdes mod angrebssårbarheder. Hackere ved dette og undersøger regelmæssigt måder at ændre enhedskonfigurationer for at gøre uopdaget adgang til netværket lettere. FortiSIEM registrerer og retter disse ændringer.
Implementering af AI maskinlæringsteknikker
Sikkerhedssoftware får sjældent den perfekte skabelon for typisk brugeradfærd ud af boksen. FortiSIEM begynder driften med en standardprofil for forventet brugeradfærd, men justerer denne over tid gennem en maskinlæringsproces. Dette etablerer en basislinje for rimelig aktivitet. Afvigelse fra denne standard markeres derefter som usædvanlig – dette kaldes User and Entity Behavior Analytics (UEBA).
Risikoscoring
Brud på nogle enheder ville være mere katastrofalt end brud på andre. FortiSIEM tager højde for dette faktum gennem risikoscoring, hvilket gør det muligt at øge overvågningen for kritiske dele af netværksudstyr. Samme prioritering finder også sted for brugerkonti og brugerroller.
Real-time distribueret begivenhedskorrelation
Et effektivt SIEM-system skal kompilere hændelsesdata fra mange forskellige steder på netværket. Typisk udføres denne opgave på data hentet fra logfiler, som tilbyder retrospektiv information. En snigende ubuden gæst kan erodere systemsikkerheden gennem en række tilsyneladende ufarlige handlinger.
En udførlig liste over detektionsregler hjælper med at identificere typiske kombinationer af handlinger, der indikerer en trussel. I modsætning til de fleste SIEM-tjenester er FortiSIEM i stand til at arbejde med sine aktivitetskombinationsregler – kaldet 'hændelseskorrelationer' – i realtid i stedet for at vente på, at poster bliver skrevet ind i logfiler.
Autodiscovery og konfigurationsstyringsdatabase
FortiSIEM driver et netværksregistreringssystem, der søger efter alle enheder, der er tilsluttet det beskyttede netværk, og samler en aktivopgørelse ud fra resultaterne. Denne beholdning vedligeholdes i realtid, så eventuelle ændringer i udstyrsbeholdningen noteres automatisk.
Denne service vil især glæde virksomheder, der følger ITIL-standarderne, fordi den automatisk opretter en konfigurationsstyringsdatabase (CMDB). CMDB'en er central i konfigurationsstyringsprocessen for ITIL-aktivstyring.
Kortlægning af brugeridentitet
Takket være DHCP er det ikke ligetil at identificere brugere ved hjælp af en IP-adresse. Systemer, der tillader eksterne brugere, såsom kunder eller fjernmedarbejdere, har også vanskeligheder, når de forsøger at identificere personer. Tilføj de variationer i IP-adresser, som VPN'er og IP-omskiftere opretter, og det kan være virkelig svært at binde alle handlingerne fra en enkelt bruger sammen.
Selv brugerkonti og systemgodkendelse kan nogle gange duperes, og forhåndsgodkendte gæster er i stand til at skabe kaos uden at logge ind. FortiSIEM bruger MAC-adressesporing og andre fingeraftryksteknikker til at fjerne afhængigheden af IP-adressen som den eneste identifikator for hver bruger eller besøgende .
Log parsing
Log-parsing er den centrale SEM-strategi for ethvert SIEM-system, men kvaliteten af SIEM-software kan blive alvorligt forringet af ineffektive og langsomme tekstsøgninger. Fortinet forbedrede sin logsøgningsmetode for FortiSIEM med et patenteret loganalysesystem.
Trusselsintelligens feeds
Fortinet driver FortiGuard Labs, som forsker i nye cyberangreb og vira. Trusselsintelligensen produceret af FortiGuard føres ind i alle kørende forekomster af FortiSIEM rundt om i verden.
Fortinet kompilerer også 'indikatorer for kompromis', som forbinder angreb produceret af de samme hackergrupper, hvilket fører til viden om angreb, der kan følge efter en indledende indtrængen eller infektionsforsøg.
FortiSIEM konfigurationsmuligheder
FortiSIEM er tilgængelig i tre konfigurationer:
- En netværksenhed
- On-premises software
- Cloud service
Hver mulighed har sine fordele og ulemper.
FortiSIEM apparat
Netværksenheden ligner en hardware-firewall. Den tilsluttes bare til netværket som enhver anden enhed. Som deltager i netværket er den i stand til at sample al forbipasserende trafik, svarende til en pakkesniffer.
Fordelen ved at bruge hardwareindstillingen er, at enheden inkluderer hukommelse og processorer, så den belaster ingen eksisterende servere, og den kræver ikke ekstra diskplads. Dette er dog den dyreste af de tre FortiSIEM-muligheder.
Der er tre modeller af FortiSIEM-enheden:
- FortiSIEM 500F – 5.000 hændelser i sekundet, 3 TB lagerplads
- FortiSIEM 2000F – 15.000 hændelser i sekundet, 36 TB lagerplads
- FortiSIEM 3500F – 30.000 hændelser i sekundet, 72 TB lagerplads
Det er klart, at jo større modellen er, jo højere er prisen. Det er vigtigt at få et klart skøn over din netværkstrafikgennemstrømning, før du bestiller en af disse enheder. Dette er for at du ikke betaler for meget for unødvendig kapacitet, og du sørger heller ikke for, at din netværkstrafik skal analyseres fuldt ud.
On-premises software
Softwareindstillingen er ikke så ligetil som blot at installere en download på serveren. FortiSIEM-tjenesten kræver, at en hypervisor er til stede for at understøtte den. Systemet vil køre oven på VMWare vSphere, KVM, Microsoft Hyper-V og OpenStack.
Hvis du allerede har et af disse systemer installeret og i drift, er softwaremuligheden meget attraktiv, fordi den har meget få ekstra krav til interne færdigheder for at kunne betjene den. Hvis du ikke har nogen virtualisering på dine servere i øjeblikket, vil det være en ekstra opgave at få en hypervisor i drift, som du måske ikke er parat til at investere i.
Cloud service
Den hostede skybaserede mulighed er den nemmeste rute at gå ned - den kræver ikke nogen specialiseret hardware, og du behøver ikke dedikerede teknikere for at bruge den. Nogle virksomheder er dog stadig forsigtige med at outsource hardware og software under Software as a Service-modellen (SaaS), fordi det ser ud til, at det vil svække sikkerheden, hvis data om systemet forlader bygningen.
Transmissionssikkerhed er dækket af kryptering, så hackere er blokeret fra at opsnappe kommunikation mellem dit websted og Fortinet cloud-serveren, hvor analysen finder sted.
Dashboard
FortiSIEM-systemets brugerkonsol kombinerer standard 'out-of-box-skærme' og muligheder for tilpassede skærme.
Standard skærme
De vigtigste skærmbilleder, som enhver netværksadministrator kommer til at se på dagligt, er oversigtsskærmene. Disse viser live datastatistikker vedrørende ydeevnen af virksomhedens infrastruktur.
Der er en skærm til netværket og en til servere, som kan skiftes til at fokusere på hver server. Der er også skærme til virtualiseringer; dette afsnit er særligt vigtigt for de virksomheder, der kører FortiSIEM-softwaren på stedet. Dette skyldes, at SIEM-tjenesten er afhængig af denne VM til sit operativsystem.
Ud over de overordnede systemovervågningsskærme er der individuelle skærme, der undersøger aktiviteterne for specifikke applikationer og tjenester. Disse vil kun blive aktiveret, hvis FortiSIEM's autodiscovery-sweep registrerer tilstedeværelsen af disse systemer. Eksempler på sådanne funktioner omfatter Office 365 og Amazon Web Services.
Oversigtsskærme giver detaljeret adgang til detaljeskærme. Alle tjenestens standardskærme repræsenterer data i et regnearksformat. Data kan sorteres efter hver kolonne i displayet og også udtrækkes til analyseværktøjer.
Skærme, der kan tilpasses
De dele af FortiSIEM-dashboardet, der kan tilpasses, kaldes 'widget-skærmene.' En widget er et datarepræsentationspanel. Brugeren kan bestemme, hvilken information der skal vises i et panel, og hvordan den vil blive repræsenteret. Dette kan være en liste, en graf eller et diagram.
Layoutet af en widgetskærm er mere attraktivt og giver mulighed for blandede informationskilder. Efterhånden som netværksadministratorer bliver mere fortrolige med de forskellige administrationsskærme i FortiSIEM-systemet, vil de begynde at samle widgetskærme og bruge dem i stedet for standardskærmene.
Afbødning af angreb
FortiSIEM opdager ikke kun mistænkelige aktiviteter; den kan også foretage automatisk handling for at blokere disse bevægelser. Tjenesten er i stand til at interagere med flere hjælpeprogrammer på et netværk, såsom firewalls og adgangsretssystemer for at blokere en IP-adresse fra at få adgang til netværket eller lukke en brugerkonto. SIEM-systemet kan kommunikere direkte med individuelle enheder for at gendanne konfigurationer og beskytte logfiler mod manipulation.
Overholdelsesrapportering
FortiSIEM-pakken inkluderer rapportformater, der er nødvendige for at bevise overensstemmelse med PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Critical Controls, COBIT, ITIL, ISO 27001, NERC, NIST800-53, NIST800- 171 og NESA. Du kan finde mere detaljer på databladet .
De bedste FortiSIEM-alternativer
FortiSIEM er på ingen måde det eneste SIEM-system, der er tilgængeligt på markedet i dag. For mere detaljeret information om, hvordan SIEM-systemer fungerer, se venligst vores indlæg om Bedste SIEM-værktøjer .
Her er vores liste over de bedste alternativer til FortiSIEM:
- SolarWinds Security Event Manager (GRATIS PRØVE) Et SIEM-værktøj fra SolarWinds, som er den førende udbyder af infrastrukturstyringsværktøjer. Dette værktøj integreres med SolarWinds netværksovervågningsværktøjer og kører på Windows Server. Start 30-dages gratis prøveperiode.
- ManageEngine EventLog Analyzer (GRATIS PRØVE) Logfilanalyse, der giver SIM; tilføje til OpManager for SEM. Det installeres på Windows, Windows Server og Linux. Få adgang til den 30-dages gratis prøveperiode.
- Datadog Sikkerhedsovervågning Et cloud-baseret netværksovervågningssystem med integreret SIEM-funktion.
- Splunk Enterprise Security Netværksovervågning med logstyring plus analyseværktøj. Det installeres på Windows og Linux.
- OSSEC Et gratis open source system til registrering af indtrængen, der fokuserer på loganalyse. Det kører på Windows, Mac OS, Linux og Unix.
- LogRhythm NextGen SIEM-platform AI-baseret trafik- og loganalyseværktøj. Det installeres på Windows og Linux.
- AT&T Cybersecurity AlienVault Unified Security Management Multi-strategi IDS og SIEM. Det kører på Mac OS såvel som Windows.
- RSA NetWitness Netværkstrafikanalyse for SIEM rettet mod store virksomheder. Det kører på en VM.
- IBM QRadar Et SIEM-værktøj med risikovurdering og angrebsmodellering. Det kører på Windows Server.
- McAfee Enterprise Security Manager Et SIEM-værktøj, der forbinder med Active Directory. Det kører på Mac OS såvel som Windows.
FortiSIEM ofte stillede spørgsmål
Hvordan understøtter FortiSIEM multi lejemål?
FortiSIEM understøtter multi-tenancy i en Service Provider-implementering. Kontoindehaveren skal aktivere denne indstilling og derefter identificere datakilder. Under denne proces installerer FortiSIEM-systemet dataindsamlingsagenter på de websteder, der er allokeret til klientkontoen. Disse oplysninger indlæses kun på klientunderkontoen i brugerdashboardet.
Hvordan tilføjer jeg en enhed til FortiSIEM?
Det burde ikke være nødvendigt at tilføje en enhed til FortiSIEM manuelt, fordi tjenesten kører en opdagelsesrutine, der automatisk registrerer alle enheder. Denne funktion gentages med jævne mellemrum, så hvis du ikke ser den nye enhed med det samme, skal du vente, indtil den næste system-sweep vises. Hvis du af en eller anden grund stadig mangler at tilføje en enhed manuelt, kan du gøre dette ved at gå til Supervisor-dashboardet. Klik på CMDB , se i Enhedsvisning afsnittet, og klik på Enheder . Se på den enhedskategori, der vedrører dit nye udstyr, og klik på Nw. Dette bringer en formular frem, som du kan udfylde med enhedens detaljer.
Hvordan føjer jeg FortiGate til FortiSIEM?
Tjek først, at FortiGate er sat op til at indsamle de informationstyper, FortiSIEM har brug for. Gå derefter videre til FortiSIEM-opsætningen:
- Log ind på FortiGate som administrator og gå til Netværk på den System menu.
- Redigere den grænseflade, du vil bruge til FortiSIEM. Under Administrativ adgang , sikre at SSH og SNMP er valgt. Klik på OK.
- Gå til Config i systemmenuen, og vælg SNMP v1/v2c.
- Klik Lav ny for at aktivere offentlig fællesskab.
Skift til FortiSIEM. Når Discovery-processen kører, skal den identificere FortiGate-enheden og bruge den som en datakilde.