Administrador De Red

Revisión y alternativas de FortiSIEM

Revisión y alternativas de FortiSIEM



ElFortiSIEMel sistema es unInformación de seguridad y gestión de eventos.(SIEM) paquete. SIEM es una combinación de dos metodologías de protección de seguridad: Gestión de información de seguridad (SIM) y Gestión de eventos de seguridad (SEM).

¿Qué es SIEM?

Los sistemas SIM examinan los registros para buscar patrones que indiquen actividad sospechosa. Los métodos SEM observan eventos en tiempo real, como patrones de tráfico de red y actividades de los usuarios.



Cada método tiene sus debilidades. Por ejemplo, SIM detecta intrusiones o amenazas internas después del hecho. Esta estrategia de seguridad es muy eficaz para detectar actividades maliciosas, como el robo de datos, pero sólo después de que el daño ya esté causado. SEM es instantáneo y, por lo tanto, tiene más posibilidades de bloquear las actividades dañinas de los malhechores antes de que sea demasiado tarde. Sin embargo, los datos instantáneos monitoreados en una ubicación a menudo no detectan atacantes sigilosos. Sólo cuando se vincula información sobre varios eventos aparentemente no relacionados en diferentes lugares se revela la intrusión.

La combinación de SIM y SEM en SIEM crea una estrategia de protección mucho más sólida: las fortalezas de SIM compensan las debilidades de SEM y viceversa.



Acerca de FortiSIEM

Panel FortiSIEM - Vista perimetral

Fortinettiene una sólida trayectoria en ciberseguridad y defensa de sistemas, por lo que, naturalmente, la empresa debería lanzar un producto SIEM. FortiSIEM tiene toda la astucia del enfoque combinado de SIEM respaldado con toda la experiencia de Fortinet.

FortiSIEM comenzó su vida como AccelOps, una solución SIEM producida por una empresa del mismo nombre. La empresa se dedicaba al análisis e investigación de amenazas a la seguridad, ofreciendo inteligencia y consultoría, así como software SIEM. Fortinet compró AccelOps en junio de 2016. La experiencia de AccelOps se integró bien con el equipo de Fortinet y el producto principal de la nueva filial se relanzó como FortiSIEM.

Publicación relacionada: Los mejores analizadores de Fortinet.

Descripción general de las características de FortiSIEM

Como sistema SIEM, FortiSIEM implementa una variedad de estrategias de detección de amenazas simultáneamente. Estas son algunas de las acciones clave del marco de seguridad.

Monitoreo combinado de seguridad y operación de red

Además de examinar los registros en busca de notificaciones de transacciones cuando se busca actividad inusual, FortiSIEM aprovecha información de fuentes de datos. Estas fuentes de datos se utilizan normalmente para monitorear el rendimiento de la red, es decir, alertas del Protocolo simple de administración de red (trampas SNMP).

Para implementar la parte SEM de SIEM, FortiSIEM necesita vigilar el tráfico que circula en la red, en busca de actividades sospechosas. Efectivamente, esto eclipsa las funciones de cualquier sistema de monitoreo de red estándar.

Monitoreo de cambios de configuración de dispositivos y software.

Es necesario reforzar los equipos de red contra las vulnerabilidades de ataque. Los piratas informáticos lo saben y regularmente investigan formas de alterar las configuraciones de los dispositivos para facilitar el acceso no detectado a la red. FortiSIEM detecta y revierte esos cambios.

Implementación de técnicas de aprendizaje automático de IA

El software de seguridad rara vez obtiene de fábrica la plantilla perfecta del comportamiento típico del usuario. FortiSIEM comienza sus operaciones con un perfil estándar de comportamiento esperado del usuario, pero lo ajusta con el tiempo mediante un proceso de aprendizaje automático. Esto establece una base de actividad razonable. La divergencia con ese estándar se marca como inusual: esto se denomina análisis del comportamiento de usuarios y entidades (UEBA).

Puntuación de riesgo

La violación de algunos dispositivos sería más catastrófica que la de otros. FortiSIEM tiene en cuenta este hecho mediante la puntuación de riesgos, lo que permite aumentar el monitoreo de piezas críticas de equipos de red. La misma priorización también se aplica a las cuentas de usuario y los roles de usuario.

Correlación de eventos distribuidos en tiempo real

Un sistema SIEM eficaz necesita compilar datos de eventos extraídos de muchas ubicaciones diferentes de la red. Normalmente, esta tarea se realiza con datos extraídos de archivos de registro, que ofrecen información retrospectiva. Un intruso sigiloso puede erosionar la seguridad del sistema mediante una serie de acciones aparentemente inofensivas.

Una lista elaborada de reglas de detección ayuda a identificar combinaciones típicas de acciones que indican una amenaza. A diferencia de la mayoría de los servicios SIEM, FortiSIEM puede ejecutar sus reglas de combinación de actividades, denominadas 'correlaciones de eventos', en tiempo real en lugar de esperar a que los registros se escriban en archivos de registro.

Base de datos de gestión de configuración y descubrimiento automático

FortiSIEM opera un sistema de descubrimiento de redes que busca todos los dispositivos conectados a la red protegida y compila un inventario de activos a partir de sus hallazgos. Este inventario se mantiene en tiempo real, por lo que cualquier cambio en el inventario de equipos se registra automáticamente.

Este servicio complacerá especialmente a las empresas que siguen los estándares ITIL porque crea automáticamente una base de datos de gestión de configuración (CMDB). La CMDB es fundamental para el proceso de gestión de la configuración de la gestión de activos ITIL.

Mapeo de identidad de usuario

Gracias a DHCP, identificar a los usuarios mediante una dirección IP no es sencillo. Los sistemas que admiten usuarios externos, como clientes o trabajadores remotos, también tienen dificultades a la hora de intentar identificar individuos. Agregue las variaciones en las direcciones IP que crean las VPN y los conmutadores de IP y puede resultar realmente difícil unir todas las acciones de un solo usuario.

Incluso las cuentas de usuario y la autenticación del sistema pueden ser engañadas a veces y los invitados previamente autenticados pueden causar estragos sin iniciar sesión. FortiSIEM utiliza el rastreo de direcciones MAC y otras técnicas de toma de huellas digitales para eliminar la dependencia de la dirección IP como único identificador de cada usuario o visitante. .

análisis de registros

El análisis de registros es la estrategia SEM central de cualquier sistema SIEM, pero la calidad del software SIEM puede verse seriamente afectada por búsquedas de texto lentas e ineficientes. Fortinet reforzó su metodología de búsqueda de registros para FortiSIEM con un sistema patentado de análisis de registros.

Fuentes de inteligencia sobre amenazas

Fortinet ejecuta FortiGuard Labs, que investiga nuevos ataques cibernéticos y virus. La inteligencia sobre amenazas producida por FortiGuard se incorpora a todas las instancias en ejecución de FortiSIEM en todo el mundo.

Fortinet también recopila 'indicadores de compromiso', que vinculan los ataques producidos por los mismos grupos de piratas informáticos, lo que permite conocer los ataques que podrían seguir a una intrusión inicial o un intento de infección.

Opciones de configuración de FortiSIEM

FortiSIEM está disponible en tres configuraciones:

  • Un dispositivo de red
  • Software local
  • Servicio de almacenamiento en la nube

Cada opción tiene sus ventajas y desventajas.

Dispositivo FortiSIEM

El dispositivo de red es similar a un firewall de hardware. Simplemente se conecta a la red como cualquier otro dispositivo. Como participante de la red, puede muestrear todo el tráfico que pasa, similar a un rastreador de paquetes.

La ventaja de utilizar la opción de hardware es que el dispositivo incluye memoria y procesadores, por lo que no carga ningún servidor existente y no requiere espacio adicional en el disco. Sin embargo, esta es la más cara de las tres opciones de FortiSIEM.

Hay tres modelos del dispositivo FortiSIEM:

  • FortiSIEM 500F: 5000 eventos por segundo, 3 TB de almacenamiento
  • FortiSIEM 2000F: 15.000 eventos por segundo, 36 TB de almacenamiento
  • FortiSIEM 3500F: 30.000 eventos por segundo, 72 TB de almacenamiento

Evidentemente, cuanto más grande sea el modelo, mayor será su precio. Es importante obtener una estimación clara del rendimiento del tráfico de su red antes de solicitar uno de estos dispositivos. Esto es para que no pague de más por capacidad innecesaria ni proporcione un análisis insuficiente del tráfico de su red.

Software local

La opción de software no es tan sencilla como simplemente instalar una descarga en el servidor. El servicio FortiSIEM requiere que haya un hipervisor presente para respaldarlo. El sistema se ejecutará sobre VMWare vSphere, KVM, Microsoft Hyper-V y OpenStack.

Si ya tiene uno de estos sistemas instalado y en funcionamiento, la opción de software es muy atractiva porque requiere muy pocos requisitos adicionales de habilidades internas para poder operarlo. Si actualmente no tiene virtualización en sus servidores, poner en funcionamiento un hipervisor será una tarea adicional en la que quizás no esté dispuesto a invertir.

Servicio de almacenamiento en la nube

La opción alojada basada en la nube es la ruta más fácil de implementar: no requiere ningún hardware especializado y no necesita técnicos dedicados para usarla. Sin embargo, algunas empresas todavía desconfían de la subcontratación de hardware y software bajo el modelo de software como servicio (SaaS) porque parece que permitir que los datos sobre el sistema salgan del edificio debilitará inevitablemente la seguridad.

La seguridad de la transmisión está cubierta por el cifrado, por lo que los piratas informáticos no pueden interceptar las comunicaciones entre su sitio y el servidor en la nube de Fortinet donde se realiza el análisis.

Panel

La consola de usuario del sistema FortiSIEM combina “pantallas listas para usar” estándar y oportunidades para pantallas personalizadas.

Pantallas estándar

Las pantallas principales que cualquier gestor de red va a mirar en el día a día son las pantallas de resumen. Estos muestran estadísticas de datos en vivo sobre el rendimiento de la infraestructura de la empresa.

Hay una pantalla para la red y otra para los servidores, que se pueden cambiar para centrarse en cada servidor. También existen pantallas para virtualizaciones; Esta sección es particularmente importante para aquellas empresas que ejecutan el software FortiSIEM localmente. Esto se debe a que el servicio SIEM depende de esta VM para su sistema operativo.

Además de las pantallas de monitoreo general del sistema, hay pantallas individuales que examinan las actividades de aplicaciones y servicios específicos. Estos solo se activarán si el barrido de descubrimiento automático de FortiSIEM detecta la presencia de esos sistemas. Ejemplos de tales características incluyen Office 365 y Amazon Web Services.

Las pantallas de resumen brindan acceso detallado a las pantallas de detalles. Todas las pantallas estándar del servicio representan datos en formato de hoja de cálculo. Los datos se pueden ordenar por cada columna de la pantalla y también extraerse a utilidades de análisis.

Panel de control FortiSIEM

Pantallas personalizables

Las partes del panel de FortiSIEM que se pueden personalizar se denominan 'pantallas de widgets'. Un widget es un panel de representación de datos. El usuario puede decidir qué información se va a mostrar en un panel y cómo se representará. Podría ser una lista, un gráfico o un cuadro.

El diseño de la pantalla de un widget es más atractivo y permite fuentes mixtas de información. A medida que los administradores de red se sientan más cómodos con las diferentes pantallas de administración del sistema FortiSIEM, comenzarán a ensamblar pantallas de widgets y a usarlas en lugar de las pantallas estándar.

Vista del panel de FortiSIEM

Mitigación de ataques

FortiSIEM no sólo detecta actividades sospechosas; también puede tomar medidas automáticas para bloquear esos movimientos. El servicio puede interactuar con varias utilidades en una red, como firewalls y sistemas de derechos de acceso para bloquear el acceso de una dirección IP a la red o cerrar una cuenta de usuario. El sistema SIEM puede comunicarse directamente con dispositivos individuales para restaurar configuraciones y proteger los archivos de registro contra manipulaciones.

Informes de cumplimiento

El paquete FortiSIEM incluye formatos de informes que son necesarios para demostrar el cumplimiento de PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Critical Controls, COBIT, ITIL, ISO 27001, NERC, NIST800-53, NIST800- 171 y NESA. Puedes encontrar más detalles en la hoja de datos .

Las mejores alternativas a FortiSIEM

FortiSIEM no es de ninguna manera el único sistema SIEM disponible en el mercado hoy en día. Para obtener información más detallada sobre cómo funcionan los sistemas SIEM, consulte nuestra publicación en el Las mejores herramientas SIEM .

Aquí está nuestra lista de las mejores alternativas a FortiSIEM:

  1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA) Una herramienta SIEM de SolarWinds, que es el proveedor líder de herramientas de gestión de infraestructura. Esta herramienta se integra con las herramientas de monitoreo de red SolarWinds y se ejecuta en Windows Server. Comience la prueba gratuita de 30 días.
  2. Analizador ManageEngine EventLog (PRUEBA GRATUITA) Análisis de archivos de registro que proporciona SIM; agregar a OpManager para SEM. Se instala en Windows, Windows Server y Linux. Accede a la prueba gratuita de 30 días.
  3. Monitoreo de seguridad de Datadog Un sistema de monitoreo de red basado en la nube con función SIEM integrada.
  4. Seguridad empresarial de Splunk Monitoreo de red con gestión de registros más herramienta de análisis. Se instala en Windows y Linux.
  5. OSSEC Un sistema gratuito de detección de intrusiones de código abierto que se centra en el análisis de registros. Se ejecuta en Windows, Mac OS, Linux y Unix.
  6. Plataforma SIEM LogRhythm NextGen Herramienta de análisis de registros y tráfico basada en IA. Se instala en Windows y Linux.
  7. AT&T Cybersecurity AlienVault Gestión de seguridad unificada IDS y SIEM multiestrategia. Se ejecuta tanto en Mac OS como en Windows.
  8. Testigo de red RSA Análisis de tráfico de red para SIEM dirigido a grandes empresas. Se ejecuta en una VM.
  9. QRadar de IBM Una herramienta SIEM con evaluación de riesgos y modelado de ataques. Se ejecuta en Windows Server.
  10. Gerente de seguridad empresarial de McAfee Una herramienta SIEM que interactúa con Active Directory. Se ejecuta tanto en Mac OS como en Windows.

Preguntas frecuentes sobre FortiSIEM

¿Cómo admite FortiSIEM el arrendamiento múltiple?

FortiSIEM admite multiinquilino en una implementación de proveedor de servicios. El titular de la cuenta debe activar esta configuración y luego identificar las fuentes de datos. Durante este proceso, el sistema FortiSIEM instala agentes de recopilación de datos en los sitios asignados a la cuenta del cliente. Esta información solo se carga en la subcuenta del cliente en el panel de usuario.

¿Cómo agrego un dispositivo a FortiSIEM?

No debería ser necesario agregar un dispositivo a FortiSIEM manualmente porque el servicio ejecuta una rutina de descubrimiento que detecta automáticamente todos los dispositivos. Esta función se repite periódicamente, por lo que si no ve el nuevo dispositivo inmediatamente, espere hasta el siguiente barrido del sistema para que aparezca. Si, por algún motivo, aún necesita agregar un dispositivo manualmente, puede hacerlo yendo al panel de Supervisor. Haga clic en CMDB , Mira en el Vista del dispositivo sección y haga clic en Dispositivos . Mire la categoría de dispositivo que se relaciona con su nuevo equipo y haga clic en Nw. Esto abrirá un formulario para que lo complete con los detalles del dispositivo.

¿Cómo agrego FortiGate a FortiSIEM?

Primero, verifique que FortiGate esté configurado para recopilar los tipos de información que FortiSIEM necesita. Luego pase a la configuración de FortiSIEM:

  1. Inicie sesión en FortiGate como administrador y vaya a Red sobre el Sistema menú.
  2. Editar la interfaz que utilizará para FortiSIEM. Bajo Acceso administrativo , asegurarse de que SSH y SNMP están seleccionados. Haga clic en Aceptar.
  3. Vaya a Configuración en el menú Sistema y seleccione SNMP v1/v2c.
  4. Hacer clic Crear nuevo para permitir el público comunidad.

Cambie a FortiSIEM. Cuando se ejecuta el proceso de descubrimiento, debe identificar el dispositivo FortiGate y utilizarlo como fuente de datos.

^