FortiSIEM-Rezension und Alternativen
DerFortiSIEMSystem ist einSicherheitsinformations- und Ereignismanagement(SIEM) Paket. SIEM ist eine Kombination aus zwei Sicherheitsschutzmethoden: Security Information Management (SIM) und Security Event Management (SEM).
Was ist SIEM?
SIM-Systeme untersuchen Protokolldatensätze, um nach Mustern zu suchen, die auf verdächtige Aktivitäten hinweisen. SEM-Methoden überwachen Echtzeitereignisse, wie z. B. Netzwerkverkehrsmuster und Benutzeraktivitäten.
Jede Methode hat ihre Schwächen. SIM erkennt beispielsweise Eindringlinge oder Insider-Bedrohungen im Nachhinein. Diese Sicherheitsstrategie ist sehr effektiv bei der Erkennung böswilliger Aktivitäten wie Datendiebstahl, allerdings erst, wenn der Schaden bereits angerichtet ist. SEM ist sofort einsetzbar und hat daher eine bessere Chance, die schädlichen Aktivitäten von Übeltätern zu blockieren, bevor es zu spät ist. Durch die sofortige Überwachung von Daten an einem Ort können heimliche Angreifer jedoch häufig nicht erkannt werden. Erst wenn Informationen über mehrere scheinbar nicht zusammenhängende Ereignisse an verschiedenen Orten miteinander verknüpft werden, wird der Einbruch aufgedeckt.
Die Kombination von SIM und SEM in SIEM schafft eine viel stärkere Schutzstrategie – die Stärken von SIM gleichen die Schwächen von SEM aus und umgekehrt.
Über FortiSIEM
Fortinetverfügt über eine starke Erfolgsbilanz in den Bereichen Cybersicherheit und Systemverteidigung, daher sollte das Unternehmen natürlich ein SIEM-Produkt auf den Markt bringen. FortiSIEM verfügt über die gesamte Raffinesse des kombinierten SIEM-Ansatzes, unterstützt durch die gesamte Expertise von Fortinet.
FortiSIEM begann als AccelOps, eine SIEM-Lösung, die von einem gleichnamigen Unternehmen entwickelt wurde. Das Unternehmen beschäftigt sich mit der Analyse und Erforschung von Sicherheitsbedrohungen und bietet Informationen und Beratung sowie SIEM-Software. Fortinet kaufte AccelOps im Juni 2016. Die Expertise von AccelOps integrierte sich gut in das Fortinet-Team und das Hauptprodukt der neuen Tochtergesellschaft wurde als FortiSIEM neu aufgelegt.
Verwandter Beitrag: Die besten Fortinet-Analysatoren
Übersicht über die FortiSIEM-Funktionen
Als SIEM-System implementiert FortiSIEM eine Reihe von Strategien zur Bedrohungserkennung gleichzeitig. Hier sind einige der wichtigsten Aktionen des Sicherheitsrahmens.
Kombinierte Sicherheits- und Netzwerkbetriebsüberwachung
Bei der Suche nach ungewöhnlichen Aktivitäten untersucht FortiSIEM nicht nur Protokolle auf Benachrichtigungen über Transaktionen, sondern nutzt auch Informationen aus Datenquellen. Diese Datenquellen werden typischerweise zur Überwachung der Netzwerkleistung verwendet, nämlich Warnungen vom Simple Network Management Protocol (SNMP-Traps).
Um den SEM-Teil von SIEM zu implementieren, muss FortiSIEM den im Netzwerk zirkulierenden Datenverkehr im Auge behalten und nach verdächtigen Aktivitäten suchen. Dies stellt praktisch die Funktionen jedes Standard-Netzwerküberwachungssystems in den Schatten.
Überwachung von Geräte- und Softwarekonfigurationsänderungen
Netzwerkgeräte müssen gegen Angriffsschwachstellen geschützt werden. Hacker wissen das und suchen regelmäßig nach Möglichkeiten, Gerätekonfigurationen zu ändern, um den unerkannten Zugriff auf das Netzwerk zu erleichtern. FortiSIEM erkennt diese Änderungen und macht sie rückgängig.
Einsatz von KI-Techniken für maschinelles Lernen
Sicherheitssoftware bietet selten sofort die perfekte Vorlage für das typische Benutzerverhalten. FortiSIEM beginnt den Betrieb mit einem Standardprofil des erwarteten Benutzerverhaltens, passt dieses jedoch im Laufe der Zeit durch einen maschinellen Lernprozess an. Dadurch wird eine Grundlage für angemessene Aktivitäten geschaffen. Abweichungen von diesem Standard werden dann als ungewöhnlich gekennzeichnet – dies wird als User and Entity Behavior Analytics (UEBA) bezeichnet.
Risikobewertung
Der Verstoß gegen einige Geräte wäre katastrophaler als der Verstoß gegen andere. FortiSIEM trägt dieser Tatsache durch Risikobewertung Rechnung und ermöglicht so eine verstärkte Überwachung kritischer Netzwerkgeräte. Die gleiche Priorisierung erfolgt auch für Benutzerkonten und Benutzerrollen.
Korrelation verteilter Ereignisse in Echtzeit
Ein effektives SIEM-System muss Ereignisdaten zusammenstellen, die von vielen verschiedenen Standorten im Netzwerk stammen. Typischerweise wird diese Aufgabe mit Daten durchgeführt, die aus Protokolldateien stammen, die rückblickende Informationen bieten. Ein heimlicher Eindringling kann die Systemsicherheit durch eine Reihe scheinbar harmloser Aktionen untergraben.
Eine ausführliche Liste von Erkennungsregeln hilft dabei, typische Kombinationen von Aktionen zu identifizieren, die auf eine Bedrohung hinweisen. Im Gegensatz zu den meisten SIEM-Diensten ist FortiSIEM in der Lage, seine Aktivitätskombinationsregeln – sogenannte „Ereigniskorrelationen“ – in Echtzeit zu bearbeiten, anstatt darauf zu warten, dass Datensätze in Protokolldateien geschrieben werden.
Autodiscovery- und Konfigurationsverwaltungsdatenbank
FortiSIEM betreibt ein Netzwerkerkennungssystem, das alle mit dem geschützten Netzwerk verbundenen Geräte aufspürt und aus den Ergebnissen ein Asset-Inventar erstellt. Dieser Bestand wird in Echtzeit verwaltet, sodass alle Änderungen am Gerätebestand automatisch vermerkt werden.
Dieser Service wird besonders Unternehmen gefallen, die den ITIL-Standards folgen, da er automatisch eine Konfigurationsverwaltungsdatenbank (CMDB) erstellt. Die CMDB ist von zentraler Bedeutung für den Konfigurationsmanagementprozess des ITIL-Asset-Managements.
Benutzeridentitätszuordnung
Dank DHCP ist die Identifizierung von Benutzern anhand einer IP-Adresse nicht einfach. Auch Systeme, die externe Benutzer wie Kunden oder Remote-Mitarbeiter zulassen, haben Schwierigkeiten bei der Identifizierung von Personen. Wenn man die Variationen bei den IP-Adressen berücksichtigt, die VPNs und IP-Switcher erzeugen, kann es wirklich schwierig sein, alle Aktionen eines einzelnen Benutzers zusammenzufassen.
Sogar Benutzerkonten und Systemauthentifizierung können manchmal getäuscht werden, und vorab authentifizierte Gäste können Chaos anrichten, ohne sich anzumelden. FortiSIEM verwendet MAC-Adressenverfolgung und andere Fingerabdrucktechniken, um die Abhängigkeit von der IP-Adresse als einziger Kennung jedes Benutzers oder Besuchers zu beseitigen .
Protokollanalyse
Das Parsen von Protokollen ist die zentrale SEM-Strategie jedes SIEM-Systems. Die Qualität der SIEM-Software kann jedoch durch ineffiziente und langsame Textsuchen erheblich beeinträchtigt werden. Fortinet hat seine Protokollsuchmethodik für FortiSIEM mit einem patentierten Protokollanalysesystem verbessert.
Threat-Intelligence-Feeds
Fortinet betreibt FortiGuard Labs, das neue Cyberangriffe und Viren erforscht. Die von FortiGuard erzeugten Bedrohungsinformationen werden in alle laufenden Instanzen von FortiSIEM auf der ganzen Welt eingespeist.
Fortinet stellt außerdem „Kompromittierungsindikatoren“ zusammen, die Angriffe derselben Hackergruppen miteinander verknüpfen und so Aufschluss über Angriffe geben, die auf einen ersten Einbruchs- oder Infektionsversuch folgen könnten.
FortiSIEM-Konfigurationsoptionen
FortiSIEM ist in drei Konfigurationen verfügbar:
- Ein Netzwerkgerät
- Lokale Software
- Cloud-Dienst
Jede Option hat ihre Vor- und Nachteile.
FortiSIEM-Appliance
Das Netzwerkgerät ähnelt einer Hardware-Firewall. Es wird wie jedes andere Gerät einfach an das Netzwerk angeschlossen. Als Teilnehmer am Netzwerk ist es in der Lage, den gesamten passierenden Datenverkehr abzutasten, ähnlich einem Paket-Sniffer.
Der Vorteil der Verwendung der Hardware-Option besteht darin, dass das Gerät über Speicher und Prozessoren verfügt, sodass keine vorhandenen Server belastet werden und kein zusätzlicher Speicherplatz erforderlich ist. Dies ist jedoch die teuerste der drei FortiSIEM-Optionen.
Es gibt drei Modelle des FortiSIEM-Geräts:
- FortiSIEM 500F – 5.000 Ereignisse pro Sekunde, 3 TB Speicher
- FortiSIEM 2000F – 15.000 Ereignisse pro Sekunde, 36 TB Speicher
- FortiSIEM 3500F – 30.000 Ereignisse pro Sekunde, 72 TB Speicher
Es ist klar, dass der Preis umso höher ist, je größer das Modell ist. Bevor Sie eines dieser Geräte bestellen, ist es wichtig, eine klare Einschätzung des Datendurchsatzes Ihres Netzwerks zu erhalten. Dadurch wird sichergestellt, dass Sie nicht zu viel für nicht benötigte Kapazität bezahlen und auch nicht zu wenig dafür sorgen, dass Ihr Netzwerkverkehr vollständig analysiert wird.
Lokale Software
Die Software-Option ist nicht so einfach wie die einfache Installation eines Downloads auf dem Server. Der FortiSIEM-Dienst erfordert die Anwesenheit eines Hypervisors zur Unterstützung. Das System läuft auf VMWare vSphere, KVM, Microsoft Hyper-V und OpenStack.
Wenn Sie eines dieser Systeme bereits installiert und in Betrieb haben, ist die Softwareoption sehr attraktiv, da für den Betrieb nur sehr geringe zusätzliche Anforderungen an interne Fähigkeiten erforderlich sind. Wenn Ihre Server derzeit nicht über Virtualisierung verfügen, ist die Inbetriebnahme eines Hypervisors eine zusätzliche Aufgabe, in die Sie möglicherweise nicht investieren möchten.
Cloud-Dienst
Die gehostete Cloud-basierte Option ist der einfachste Weg – sie erfordert keine spezielle Hardware und Sie benötigen keine speziellen Techniker, um sie zu nutzen. Einige Unternehmen sind jedoch immer noch vorsichtig, wenn es darum geht, Hardware und Software im Rahmen des Software-as-a-Service-Modells (SaaS) auszulagern, da es den Anschein hat, dass die Sicherheit unweigerlich geschwächt wird, wenn Daten über das System das Gebäude verlassen.
Die Übertragungssicherheit wird durch Verschlüsselung abgedeckt, sodass Hacker daran gehindert werden, die Kommunikation zwischen Ihrer Website und dem Fortinet-Cloud-Server, auf dem die Analyse stattfindet, abzufangen.
Armaturenbrett
Die Benutzerkonsole des FortiSIEM-Systems kombiniert standardmäßige „Out-of-the-Box-Bildschirme“ und Möglichkeiten für benutzerdefinierte Bildschirme.
Standardbildschirme
Die Hauptbildschirme, die sich jeder Netzwerkmanager täglich ansehen wird, sind die Zusammenfassungsbildschirme. Diese zeigen Live-Datenstatistiken zur Leistung der Unternehmensinfrastruktur.
Es gibt einen Bildschirm für das Netzwerk und einen für Server, der umgeschaltet werden kann, um sich auf jeden Server zu konzentrieren. Es gibt auch Bildschirme für Virtualisierungen; Dieser Abschnitt ist besonders wichtig für Unternehmen, die die FortiSIEM-Software vor Ort ausführen. Dies liegt daran, dass der SIEM-Dienst als Betriebssystem auf diese VM angewiesen ist.
Neben den allgemeinen Systemüberwachungsbildschirmen gibt es einzelne Bildschirme, die die Aktivitäten bestimmter Anwendungen und Dienste untersuchen. Diese werden nur aktiviert, wenn der Autodiscovery-Sweep von FortiSIEM das Vorhandensein dieser Systeme erkennt. Beispiele für solche Funktionen sind Office 365 und Amazon Web Services.
Zusammenfassungsbildschirme ermöglichen einen Drilldown-Zugriff auf Detailbildschirme. Alle Standardbildschirme des Dienstes stellen Daten in einem Tabellenformat dar. Die Daten können nach jeder Spalte in der Anzeige sortiert und auch in Analyseprogramme extrahiert werden.
Anpassbare Bildschirme
Die Teile des FortiSIEM-Dashboards, die angepasst werden können, werden als „Widget-Bildschirme“ bezeichnet. Ein Widget ist ein Datendarstellungsfeld. Der Benutzer kann entscheiden, welche Informationen in einem Panel angezeigt werden und wie sie dargestellt werden. Dies kann eine Liste, ein Diagramm oder ein Diagramm sein.
Das Layout eines Widget-Bildschirms ist attraktiver und ermöglicht gemischte Informationsquellen. Wenn Netzwerkmanager mit den verschiedenen Verwaltungsbildschirmen des FortiSIEM-Systems vertrauter werden, werden sie damit beginnen, Widget-Bildschirme zusammenzustellen und diese anstelle der Standardbildschirme zu verwenden.
Angriffsabwehr
FortiSIEM erkennt nicht nur verdächtige Aktivitäten; Es kann auch automatische Maßnahmen ergreifen, um diese Bewegungen zu blockieren. Der Dienst ist in der Lage, mit mehreren Dienstprogrammen in einem Netzwerk zu interagieren, beispielsweise Firewalls und Zugriffsberechtigungssystemen, um den Zugriff einer IP-Adresse auf das Netzwerk zu blockieren oder ein Benutzerkonto zu schließen. Das SIEM-System kann direkt mit einzelnen Geräten kommunizieren, um Konfigurationen wiederherzustellen und Protokolldateien vor Manipulationen zu schützen.
Compliance-Berichterstattung
Das FortiSIEM-Paket enthält Berichtsformate, die zum Nachweis der Einhaltung von PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Critical Controls, COBIT, ITIL, ISO 27001, NERC, NIST800-53, NIST800 erforderlich sind. 171 und NESA. Sie können mehr finden Einzelheiten finden Sie im Datenblatt .
Die besten FortiSIEM-Alternativen
FortiSIEM ist keineswegs das einzige SIEM-System, das heute auf dem Markt verfügbar ist. Ausführlichere Informationen zur Funktionsweise von SIEM-Systemen finden Sie in unserem Beitrag Beste SIEM-Tools .
Hier ist unsere Liste der besten Alternativen zu FortiSIEM:
- SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION) Ein SIEM-Tool von SolarWinds, dem führenden Anbieter von Infrastrukturmanagement-Tools. Dieses Tool lässt sich in die Netzwerküberwachungstools von SolarWinds integrieren und läuft auf Windows Server. Starten Sie die kostenlose 30-Tage-Testversion.
- ManageEngine EventLog Analyzer (KOSTENLOSE TESTVERSION) Protokolldateianalyse, die SIM bereitstellt; Zum OpManager für SEM hinzufügen. Die Installation erfolgt unter Windows, Windows Server und Linux. Greifen Sie auf die kostenlose 30-Tage-Testversion zu.
- Datadog-Sicherheitsüberwachung Ein cloudbasiertes Netzwerküberwachungssystem mit integrierter SIEM-Funktion.
- Splunk Enterprise Security Netzwerküberwachung mit Protokollverwaltung und Analysetool. Es lässt sich unter Windows und Linux installieren.
- OSSEC Ein kostenloses Open-Source-Intrusion-Detection-System, das sich auf die Protokollanalyse konzentriert. Es läuft unter Windows, Mac OS, Linux und Unix.
- LogRhythm NextGen SIEM-Plattform KI-basiertes Tool zur Verkehrs- und Protokollanalyse. Es lässt sich unter Windows und Linux installieren.
- AT&T Cybersecurity AlienVault Unified Security Management Multi-Strategie-IDS und SIEM. Es läuft sowohl auf Mac OS als auch auf Windows.
- RSA NetWitness Netzwerkverkehrsanalyse für SIEM für große Unternehmen. Es läuft auf einer VM.
- IBM QRadar Ein SIEM-Tool mit Risikobewertung und Angriffsmodellierung. Es läuft auf Windows Server.
- McAfee Enterprise Security Manager Ein SIEM-Tool, das mit Active Directory interagiert. Es läuft sowohl auf Mac OS als auch auf Windows.
FortiSIEM-FAQs
Wie unterstützt FortiSIEM Multi-Tenancy?
FortiSIEM unterstützt Mandantenfähigkeit in einer Service-Provider-Implementierung. Der Kontoinhaber muss diese Einstellung aktivieren und anschließend Datenquellen identifizieren. Während dieses Vorgangs installiert das FortiSIEM-System Datenerfassungsagenten auf den Sites, die dem Kundenkonto zugewiesen sind. Diese Informationen werden nur in das Kunden-Unterkonto im Benutzer-Dashboard geladen.
Wie füge ich ein Gerät zu FortiSIEM hinzu?
Es sollte nicht notwendig sein, ein Gerät manuell zu FortiSIEM hinzuzufügen, da der Dienst eine Erkennungsroutine ausführt, die alle Geräte automatisch erkennt. Diese Funktion wird regelmäßig wiederholt. Wenn Sie das neue Gerät also nicht sofort sehen, warten Sie, bis es beim nächsten Systemdurchlauf angezeigt wird. Wenn Sie aus irgendeinem Grund dennoch ein Gerät manuell hinzufügen müssen, können Sie dies tun, indem Sie zum Supervisor-Dashboard gehen. Klicke auf CMDB , Schau in den Geräteansicht Abschnitt und klicken Sie auf Geräte . Schauen Sie sich die Gerätekategorie an, die sich auf Ihr neues Gerät bezieht, und klicken Sie auf Nw. Daraufhin wird ein Formular angezeigt, in das Sie die Gerätedetails eintragen können.
Wie füge ich FortiGate zu FortiSIEM hinzu?
Überprüfen Sie zunächst, ob FortiGate für die Erfassung der Informationstypen eingerichtet ist, die FortiSIEM benötigt. Fahren Sie dann mit dem FortiSIEM-Setup fort:
- Melden Sie sich als Administrator bei FortiGate an und gehen Sie zu Netzwerk auf der System Speisekarte.
- Bearbeiten die Schnittstelle, die Sie für FortiSIEM verwenden werden. Unter Verwaltungszugriff , sicher gehen, dass SSH Und SNMP ausgewählt sind. OK klicken.
- Gehen Sie im Systemmenü zu „Config“ und wählen Sie SNMP v1/v2c aus.
- Klicken Erstelle neu um das zu ermöglichen öffentlich Gemeinschaft.
Wechseln Sie zu FortiSIEM. Wenn der Discovery-Prozess ausgeführt wird, sollte er das FortiGate-Gerät identifizieren und es als Datenquelle verwenden.