FortiSIEM
FortiSIEM Nedir?
Cyberattacks, 7/24 zaman diliminde bir gerçektir. Kurumsal karmaşıklığı ve büyümesi ile - Altyapı, Uygulamalar, VM'ler, Bulut, Uç Noktalar ve IoT saldırı yüzeyinin katlanarak büyüdüğü anlamına gelir.
Bu bileşenler; Bilgi eksiklikleri ve kaynak kısıtlamaları ile birleştiğinde, güvenlik herkesin sorunu haline gelir, ancak görünürlük, olay korelasyonu ve iyileştirme diğer kişilerin sorumluluğundadır.
FortiSIEM bakış açısı ile etkili güvenlik görünürlük gerektirir - tüm cihazlar, gerçek zamanlı olarak tüm altyapılar - aynı zamanda bağlamla - hangi cihazların bir tehdidi temsil ettiği, kabiliyetleri nedir, böylece işin karşılaştığı tehdidi yönetirsiniz, çoklu güvenlik araçlarının yarattığı bilgi kirliliğinin önüne geçebilirsiniz.
Firalarda güvenlik yönetimi ileri safhalarda daha karmaşık hale gelir. Uç Noktalar, IoT, Altyapı, Güvenlik Araçları, Uygulamalar, VM'ler ve Bulut - güvence altına almanız ve izlemeniz için ihtiyaç duyduğunuz şey sayısı sürekli olarak artar.
FortiSIEM - Fortinet'in Çok Yönlü Güvenlik Olayı ve Etkinlik Yönetimi çözümü hepsini bir araya getiriyor. Tek, ölçeklenebilir bir çözümde Görünürlük, Korelasyon, Otomatik Yanıt ve Düzeltme. Bir Business Services görünümünü kullanarak, ağ ve güvenlik işlemlerini yönetmenin karmaşıklığı azalır, kaynakları serbest bırakır ve ihlal tespitini iyileştirir.
Dünya çapında ihlallerin % 80'i bilgi/beceri yetersizliği ve olay bilgisi ‘gürültü' nedeniyle tespit edilemiyor. FortiSIEM, çapraz korelasyon sağlar, meydana gelmeden önce ihlali durdurmak için yanıtı geliştirmek için makine öğrenmesi ve UEBA uygular.
FortiSIEM Özellikleri
Dağıtılmış Gerçek Zamanlı Olay İlişkisi (Patentli)
Dağıtılmış olay korelasyonu zor bir sorundur, çünkü birçok düğüm bir kuralı tetiklemek için kısmi durumlarını gerçek zamanlı olarak paylaşmak zorundadır. Birçok SIEM satıcısı veri toplama ve dağıtma arama yeteneklerini dağıtmış olsa da, Fortinet, dağıtılmış gerçek zamanlı olay ilişkilendirme motoruna sahip tek satıcıdır. Karmaşık olay kalıpları gerçek zamanlı olarak algılanabilir.
Bu patentli algoritma FortiSIEM'in hızlandırılmış algılama zaman dilimleri için yüksek olay oranlarında gerçek zamanlı olarak çok sayıda kuralı işlemesini sağlar.
Gerçek Zamanlı, Otomatik Altyapı Keşfi ve Uygulama Keşif Motoru (CMDB)
Hızlı problem çözümü altyapı bağlamı gerektirir. Çoğu log analizi ve SIEM satıcıları yöneticilerin, içeriği çabucak bayatlayan ve insan hatalarına çok eğilimli olan içeriği manuel olarak sağlamalarını gerektirir. Fortinet, hem fiziksel hem de sanal altyapının, şirket içi ve genel / özel bulutlardaki topolojiyi keşfedip haritalandırabilen ve cihazların veya uygulamaların ne olduğu hakkında önceden herhangi bir bilgi olmadan kimlik bilgilerini kullanarak akıllı bir altyapı ve uygulama keşif motoru geliştirmiştir.
FortiSIEM; Güncel bir CMDB (Merkezi Yönetim Veri Tabanı), arama koşullarında CMDB Nesnelerini kullanarak karmaşık içerik tanıyan olay analizini mümkün kılar.
Dinamik Kullanıcı Kimliği Haritalaması
Günlük analizi için önemli bağlam, ağ kimliğini (IP adresi, MAC Adresi) kullanıcı kimliğine (günlük adı, tam ad, organizasyon rolü) bağlamaktır. Bu bilgiler, kullanıcılar DHCP veya VPN üzerinden yeni adresler aldıkça sürekli değişiyor.
Fortinet dinamik bir kullanıcı kimliği haritalama metodolojisi geliştirmiştir. Kullanıcılar ve rolleri şirket içi veya Cloud SSO depolarından keşfedilir.
Ağ kimliği, önemli ağ olaylarından tanımlanır. Daha sonra dinamik bir kullanıcı kimliği denetim izi oluşturmak için coğrafi kimlik eklenir. Bu, sorunların hızlıca çözülmesine olanak tanıyan IP adresleri yerine kullanıcı kimliğine dayalı politikalar oluşturmayı veya araştırmalar yapmayı mümkün kılar.
Esnek ve Hızlı Özel Günlük Ayrıştırma Çerçevesi (Patentli)
Etkili günlük ayrıştırma özel komut dosyaları gerektirir, ancak özellikle Active Directory, güvenlik duvarı günlükleri vb. Gibi yüksek hacimli günlükler için yürütülmesi yavaş olabilir. Öte yandan, derlenmiş kod, yürütülmesi hızlıdır ancak yeni yazılım sürümlerine ihtiyaç duyduğundan esnek değildir.
Fortinet, yüksek seviyeli programlama dilleri gibi işlevsel ve değiştirmesi kolay, ancak çalışma zamanı boyunca yüksek verimli olması için derlenebilen XML tabanlı bir olay ayrıştırma dili geliştirmiştir.
Tüm FortiSIEM ayrıştırıcıları, bu patentli çözümü kullanarak rakiplerinin tekliflerinin ötesine geçerek her düğüm için 10K EPS'nin ötesinde ayrıştırılabilir.
Business Services Dashboard - Sistemi Servis Görünümlerine Dönüştürür
Geleneksel olarak, SIEMS ayrı ayrı bileşenleri (sunucular, uygulamalar, veritabanları vb.) İzler - ancak çoğu kurumun asıl ilgilendiği şey, bu sistemlerin sunduğu hizmetlerdir. FortiSIEM , bireysel bileşenleri bir araya getirdikleri son kullanıcı deneyimi ile ilişkilendirme becerisi sunmakta ve işletmenin gerçek kullanılabilirliğine dair güçlü bir görünüm sunmaktadır.
Otomatik Olay Azaltma
Bir Olay tetiklendiğinde, tehdidi azaltmak veya ortadan kaldırmak için otomatik bir komut dosyası çalıştırılabilir. Yerleşik komut dosyaları, Fortinet, Cisco, Palo Alto ve Window / Linux sunucuları gibi çeşitli aygıtları destekler.
Yerleşik komut dosyaları, bir kullanıcının Active Directory hesabını devre dışı bırakmak, bir anahtar bağlantı noktasını devre dışı bırakmak, Güvenlik Duvarı üzerinde bir IP adresini engellemek, bir kullanıcıyı WLAN Erişim Noktasında kimliği doğrulamak ve daha fazlası dahil olmak üzere çok çeşitli eylemler gerçekleştirebilir.
Komut dosyaları FortiSIEM'in zaten CMDB'de bulunan kimlik bilgilerini kullanır. Yöneticiler, kendi komut dosyalarını oluşturarak mevcut eylemleri kolayca genişletebilirler.
Güvenlik İstihbaratı İnfüzyonu
FortiGuard Tehdit İstihbaratı ve Uzlaşma Göstergeleri (IOC) ve Tehdit İstihbaratı (TI), ticari, açık kaynaklı ve özel veri kaynaklarından beslenir ve güvenlik TI çerçevesine kolayca entegre olur. Farklı veri kaynaklarının bu büyük birleşimi, kuruluşların tehditlerin temel nedenlerini hızla tespit etmelerini ve gelecekte bunları düzeltmek ve önlemek için gerekli adımları atmalarını sağlar. Adımlar, çoğu Fortinet ürünü için yeni Tehdit Azaltma Kütüphaneleri ile otomatik hale getirilebilir.
Hızlı Gerçek Zamanlı Operasyonel Bağlam Güvenlik Analitiği
- Sürekli güncellenen ve doğru cihaz içeriği - yapılandırma, yüklü yazılım ve yamalar, çalışan servisler
- Sistemin ve uygulama performansı analizinin yanı sıra, güvenliğin hızlı bir şekilde tetiklenmesi için bağlamsal ilişkiler arası veriler ve sorunlar
- Kullanıcı içeriği, gerçek zamanlı olarak, IP adreslerinin denetim izleri, kullanıcı kimliği değişiklikleri, fiziksel ve coğrafi harita konumu
- İzinsiz ağ cihazlarını, uygulamalarını ve yapılandırma değişikliklerini tespit etme
Kullanıma Hazır Uygunluk Raporları
- PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Kritik Kontrolleri de dahil olmak üzere çok çeşitli uyumluluk denetim ve yönetim gereksinimlerini destekleyen kullanıma hazır önceden tanımlanmış raporlar
- GSYİH şartlarını yerine getirmek için, Kişisel Olarak Tanımlanabilir Bilgiler
- (PII) yöneticinin Rolünü temel alarak gizlenebilir
Performans İzleme
- Temel sistem / ortak ölçümleri izleyin
- SNMP, WMI, PowerShell üzerinden sistem seviyesi
- JMX, WMI, PowerShell üzerinden uygulama seviyesi
- VMware, Hyper-V için sanallaştırma izleme - konuk, ana bilgisayar, kaynak havuzu ve küme düzeyi
- Depolama kullanımı, performans izleme - EMC, NetApp, Isilon, Nutanix, Çevik, Veri Alanı
- Özel uygulama performans takibi
- WMI ve Powershell aracılığıyla Microsoft Active Directory ve Exchange
- Veritabanları - Oracle, MS SQL, JDBC ile MySQL
- IPSLA, SNMP, CDR / CMR üzerinden VoIP altyapısı
- Akış analizi ve uygulama performansı - Netflow, SFlow, Cisco AVC, NBAR
- Özel metrikler ekleyebilme
- Temel ölçümler ve önemli sapmaların tespit edilmesi
Kullanılabilirlik İzleme
- Sistem yukarı / aşağı izleme - Ping, SNMP, WMI, Uptime ile
- Analiz, Kritik Arayüz, Kritik Süreç ve Servis,
- BGP / OSPF / EIGRP durum değişikliği, Depolama portu yukarı / aşağı
- Sentetik İşlem İzleme ile hizmet kullanılabilirliği modellemesi - Ping, HTTP, HTTPS, DNS, LDAP, SSH, SMTP, IMAP, POP,
- FTP, JDBC, ICMP, izleme yolu ve genel TCP / UDP bağlantı noktaları için
- Bakım pencerelerini zamanlamak için bakım takvimi
- SLA hesaplaması - "normal" iş saatleri ve mesai sonrası değerlendirmeleri
FortiSIEM Modelleri
FortiSIEM Donanım Modelleri
FortiSIEM 500F |
FortiSIEM 2000F |
FortiSIEM 3500F |
EPS = 5000 |
EPS = 15000 |
EPS = 30000 |
Storage Capacity = 3 TB |
Storage Capacity = 36 TB |
Storage Capacity = 72 TB |
FortiSIEM Sanal Makina Modelleri