اشتراک مقالات

ویژگی و امکانات FortiSIEM به همراه تحلیل و بررسی پکپارچه سازی NOC و SOC

357 مشاهده 2 16 فروردین, 1400

Fortinet نوعی معماری را طراحی کرده که از منابع اطلاعاتی مختلف مانند Logها، معیارهای عملکرد، SNMP Trapها هشدارهای امنیتی و تنظیمات داده‌ها را بصورت یکپارچه جمع‌آوری نموده و تحلیل می‌کند. FortiSIEM اساسا تحلیلات را در Siloهای جداگانه مانیتور کرده، NOC و SOC و داده‌ها را برای دید جامع امنیتی گردآوری می‌کند. هر بخش از اطلاعات به یک رویداد تبدیل می‌شود که ابتدا تجزیه شده و سپس به یک موتور تحلیل مبتنی بر رویداد ارسال می‌گردد تا جستجو‌ها، قوانین، داشبوردها و Queryهای Ad-Hoc بطور Real-time مانیتور شوند.

Machine Learning / UEBA

FortiSIEM بدون نیاز به Administrator برای نگارش قوانین پیچیده، از یادگیری ماشینی برای شناسایی رفتارهای غیرعادی کاربر و موجودیت UEBA استفاده می‌کند. FortiSIEM به شناسایی تهدیدات داخلی و ورودی که از لایه‌های دفاعی قدیمی عبور می‌کنند کمک کرده و هشدارهایی که از دقت و صحت بالایی برخوردار هستند را تعیین می‌کند که کدام تهدیدات در الویت توجه و رسیدگی قرار دارند.

سنجش میزان خطر کاربر و تجهیزات

FortiSIEM یک بازه از خطر کاربران و تجهیزاتی که می‌توانند قوانین UEBA و سایر تحلیلات را افزایش دهند ایجاد کرده است. این مقادیر خطر از طریق ادغام چندین Datapoint با توجه به کاربر و تجهیزات محاسبه می‌گردند و در یک داشبورد یکچارچه ریسک موجودیت نمایش داده می‌شوند.

شناسایی خودکار، Real-time زیرساخت و موتور شناسایی برنامه‌های کاربردی (CMDB)

تحلیل و رفع مداوم مشکلات نیازمند ساختاری زیرساختی است، بسیاری از Vendorهای SIEM و تحلیل Log نیازمند ادمین‌هایی هستند تا بطور دستی ساختار را فراهم‌سازند اما این امر خسته‌کننده بوده و احتمال خطای انسانی در آن زیاد است. Fortinet یک زیرساخت و موتور شناسایی برنامه‌کاربردی هوشمند را طراحی کرده که قادر است زیرساخت فیزیکی و مجازی، On-Premises و Private/Public Cloud را شناسایی نماید و این کار را تنها با استفاده از اطلاعات اعتباری و بدون شناخت قبلی تجهیزات و برنامه‌های کاربردی انجام می‌دهد. یک CMDB یا Centralized Management Database بروزرسانی شده، با استفاده از CMDB Objects در شرایط جستجو، تحلیل رویدادهای پیچیده را با توجه به ساختار ممکن می‌سازد.

انتقال از NOC به SOC

Mapکردن هویت کاربر بطور پویا

ساختار مهم تحلیل Log، اتصال شبکه IP و MAC به کاربر (نام Log، نام کامل، نقش سازمان) است، از آنجایی که کاربران از طریق VPN یا DHCP آدرس‌های جدیدی بدست می‌آورند، این اطلاعات دائما درحال تغییر هستند. Fortinet یک روش‌شناسی پویا Mapکردن هویت کاربر را توسعه داده و در نتیجه کاربران و نقش‌های آنها از ذخیره‌گاه‌های On-Premises و Cloud SSO  کشف می‌شود. هویت شبکه از رویدادهای مهم شناسایی شده و سپس هویت جغرافیایی برای ایجاد یک Audit Trail کاربر پویا اضافه می‌گردد. این روش ایجاد Policy‌ها یا اجرای بازرسی‌ها را براساس هویت کاربر بجایIPها ممکن می‌سازد و این به معنی حل مداوم مشکلات می­باشد.

چهارچوب تجزیه Log منعطف و سفارشی

تجزیه موثر Log‌ نیازمند اسکریپت‌های سفارشی است اما اجرای آنها به ویژه برای حجم زیاد Log‌ها مانند Active Directory و Log‌های فایروال کند می باشد، از سوی دیگر کمپایل کردن کد سریع بوده اما از آنجایی که به نسخه‌های جدید نرم‌افزاری نیاز دارد، منعطف نیست. Fortinet یک زبان تجزیه رویداد مبتنی بر XML را توسعه داد که مانند زبان‌های برنامه نویسی سطح بالا کاربردی بوده و اصلاح آن آسان می­باشد و با این حال می‌تواند در طی Run-Time کمپایل شده که این امر بسیار سودمند واقع می‌شود. تمامی تجزیه کنندگان FortiSIEM با استفاده از این راهکار انحصاری از بسیاری از رقبای خود جلوتر هستند و می‌توانند 10K EPS را بر Node تجزیه کنند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

داشبورد سرویس‌های تجاری

System to Service Views Traditionally ،SIEM اجزای مختلف مانند سرورها، برنامه‌های کاربردی و دیتابیس‌ها را مانیتور کرده، اما آنچه بیشتر سازمان‌ها به آن اهمیت می‌دهند سرویس‌هایی هستند که این سیستم‌ها به آنها قدرت می‌دهند. FortiSIEM اکنون قابلیت مرتبط‌سازی اجزای مختلف با کیفیت End User را ارائه می‌دهد که یک قابلیت دید قوی بر دسترسی حقیقی کسب‌وکار فراهم می‌کند.

زمانی که یک رخداد راه‌اندازی می‌شود یک اسکریپت برای کاهش و یا از بین بردن تهدیدات اجرا شده، اسکریپت‌های Built-In از انواع تجهیزات از جمله Fortinet ،Cisco ،Palo Alto و سرورهای Windows/Linux پشتیبانی می‌کنند. اسکریپت‌های Built-In می‌توانند طیف وسیعی اقدامات را از جمله غیرفعال‌سازی حساب Active Directory کاربران، غیرفعال‌سازی یک Switch Port، بلاک کردن یک IP در یک فایروال، عدم احراز هویت یک کاربر در یک WLAN Access Point و غیره اجرا کنند؛ اسکریپت‌ها از آن دسته اطلاعات اعتباری که FortiSIEM از قبل در CMDB داشته بهره می‌گیرند. ادمین‌ها به سادگی می‌توانند از طریق ایجاد اسکریپت‌های خود اقدامات قابل دسترس را توسعه دهند.

بیشتر بخوانید: آشنایی با قابلیت های FortiSIEM و نحوه شناسایی تهدیدات Insider

ورود هوش امنیتی

FortiGuard Threat Intelligence و Indicators of Compromise یا IOC و Threat Intelligence یا TI از منابع تجاری، سفارشی و Open Source داده‌ها که به سادگی با چارچوب TI یکپارچه می‌شوند، اطلاعات دریافت می‌کنند. این یکپارچگی عظیم منابع مختلف داده‌ها به سازمان‌ها اجازه می‌دهد تا بطور مکرر علل ریشه‌ای تهدیدات را شناسایی کنند و اقدامات لازم برای حذف و جلوگیری از آنها را در آینده انجام دهند. این اقدامات می‌توانند با Threat Mitigation Libraries برای بسیاری از محصولات Fortinet بصورت خودکار صورت گیرند.

سرویس‌دهنده مدیریت شده سازمانی معماری Multi-Tenant

Fortinet یک معماری Multi-Tenant طراحی نموده که تا حد زیادی سفارشی می‌شود و سازمان‌ها و سرویس دهندگان را قادر می‌سازد تا تعداد زیادی از دامین‌های فیزیکی Local و سیستم‌ها و شبکه‌های Over-Lapping را از یک کنسول واحد مدیریت کنند. در چنین محیطی Cross-Correlate کردن اطلاعات در تمام دامین‌های Local و فیزیکی و شبکه‌های سفارشی مجزا بسیار آسان است. گزارشات، قواعد و داشبوردهای منحصر به فرد به سادگی می‌توانند همراه با قابلیت پیاده‌سازی آنها در طیف وسیعی از دامین‌های گزارش‌گیری، برای کاربران طراحی شوند. Policyهای آرشیو‌سازی رویدادها می‌توانند بر اساس هر دامین یا کاربری پیاده‌سازی و همچنین کنترل‌های Granular RBAC امکان متمایزکردن سطوح دسترسی به ادمین‌ها و Tenantها یا کاربران را فراهم می‌سازد. برای MSSPهای بزرگ، Collectorها می‌توانند به عنوان Multi-Tenant تنظیم شوند تا ظرفیت کلی اشغال شده پیاده‌سازی را کاهش دهند.

ویژگی‌ها

ساختار عملیاتی Real-time برای تحلیلات امنیتی

  • ساختار تجهیزات دقیق که بطور مداوم بروزرسانی می‌شوند مانند تنظیم نرم‌افزار، Patchها و سرویس‌های اجرایی نصب شده 
  • تحلیل عملکرد سیستم و برنامه کاربردی همراه با داده‌های ساختاری درونی برای الویت‌بندی دائم مشکلات امنیتی
  • ساختار کاربری در حالت Real-time همراه با Audit Trailهای IP، تغییرات هویتی کاربر، موقعیت فیزیکی و جغرافیایی
  • شناسایی تجهیزات، برنامه‌های کاربردی و تغییرات پیکربندی شبکه‌ای که حق دسترسی به آن داده نشده

گزارشات تطبیق‌پذیری از پیش تعیین شده

  • گزارشات از پیش تعریف و تعیین شده که از طیف وسیعی از الزامات مدیریتی و حسابرسی تطبیق‌پذیری از جمله PCI-DSS ،HIPAA ،SOX ،NERC ،FISMA ،ISO ،GLBA ،GPG13 ،SANS Critical Controls ،COBIT،ITIL ،ISO 27001 ،NERC ،NIST800-53 ،NIST800-171 ،NESA پشتیبانی می‌کنند.
  • به منظور رفع الزامات GDPR ،Personally Identifiable Information یا PII می‌تواند براساس نقش ادمین گنگ شود.

UEBA

فرآیند بررسی و انتقال داده‌های FortiSIEM Agent-Based UEBA از راه دور، مجموعه فعالیت‌های مبتنی بر کاربر دارای دقت بالا را درنظر می‌گیرد که شامل کاربر، فرآیند، تجهیزات، منابع و رفتار می‌شوند. استفاده از یک رویکرد مبتنی بر Agent، مجموعه Telemetry را زمانی که Endpoint داخل یا خارج شبکه سازمانی قرار دارد در نظر می‌گیرد و یک بینش کامل‌تر از فعالیت کاربران فراهم می‌کند.

مانیتورکردن عملکرد

  • مانیتورکردن معیارهای رایج سیستمی
  • سطح سیستم از طریق SNMP ،WMI ،PowerShell
  • سطح برنامه کاربردی از طریق JMX ،WMI ،PowerShell
  • مانیتورکردن مجازی‌سازی برای VMware ،Hyper-V – Guest ،Host ،Resource Pool و Cluster Level
  • استفاده از ذخیره‌ساز، مانیتورکردن عملکرد – EMC ،NetApp ،Isilon ،Nutanix ،Nimble ،Data Domain
  • مانیتورکردن ویژه عملکرد برنامه‌های کاربردی
  • Microsoft Active Directory و Exchange از طریق WMI و PowerShell
  • دیتابیس – Oracle ،MS SQL ،MySQL از طریق JDBC
  • زیرساخت VolP از طریق IPSLA ،SNMP ،CDR/CMR
  • به جریان انداختن تحلیل و عملکرد برنامه‌های کاربردی، Netflow ،SFlow ،Cisco AVC ،NBAR ،IPFix
  • قابلیت اضافه کردن معیارهای سفارشی
  • معیارهای مبنای اصلی و شناسایی تغییرات مهم

مانیتورکردن قابلیت دسترسی

  • مانیتور کردن System Up/Down – از طریق Ping ،SNMP ،WMI ،Uptime Analysis ،Critical Interface ،Critical Process and Service، تغییر وضعیت BGP/OSPF/EIGRP ،Storage Port Up/Down
  • مدل‌سازی دسترسی سرویس از طریقSynthetic Transaction Monitoring – Ping ،HTTP ،HTTPS ،DNS ،LDAP ،SSH ،SMTP IMAP ،POP ،FTP ،JDBC ،ICMP ،Trace Route و برای Portهای Generic TCP/UDP
  • تقویم نگه‌داری برای برنامه‌ریزی پنجره‌های نگهداری
  • محاسبه SLA – ساعات کاری «عادی» و ملاحظات اضافه کار

ویژگی‌ها

تحلیلات قدرتمند و توسعه‌پذیر

  • جستجوی رویدادها بصورت Real-time – بدون نیاز به شاخص سازی یا Indexing
  • جستجوهای واژه‌های کلیدی و مبتنی بر رویداد
  • جستجوی رویدادهای قدیمی – Queryهای مانند SQL همراه با شرایط فیلتر Boolean، که با تجمع، فیلترهای Time-of Day، هم‌خوانی‌های مداوم توضیحات، توضیحات حساب‌شده – GUI و API
  • استفاده از اهداف شناسایی شده CMDB، کاربر/هویت و موقعیت در جستجوها و قواعد
  • زمان‌بندی گزارشات و ارائه نتایج از طریق ایمیل به ذی‌نفعان کلیدی
  • جستجوی رویدادها درکل سازمان یا یک دامین گزارش‌گیری فیزیکی یا Local
  • لیست‌های رسیدگی پویا برای پیگردی متخلفان مهم – با قابلیت استفاده از لیست‌های رسیدگی در هر قائده گزارش‌گیری
  • توسعه اطلاعات ارسالی تحلیلی با اضافه کردن Worker Nodeها بدون Downtime

شناسایی اختلال آماری و تعیین معیار اصلی

  • رفتار کاربر، سرور و Endpoint معیار اصلی – Granularity ساعتی و روز‌های کاری هفته / آخر هفته
  • انعطاف بالا – هر مجموعه از کلیدها و معیارها می توانند Baseline شوند.
  • Triggerهای سفارشی و Built-In در اختلالات آماری

یکپارچگی‌های تکنولوژی‌های خارجی

  • یکپارچگی با هرگونه وبسایت خارجی برای یافتن IP
  • یکپارچگی مبتنی بر API برای منابع هوش ارسال تهدیدات خارجی
  • یکپارچگی متقابل و مبتنی بر API با سیستم‌های Help Desk، پشتیبانی یکپارچه و آماده مصرف برای ServiceNow ،ConnectWise و Remedy
  • یکپارچگی متقابل و مبتنی بر API با CMDB خارجی، پشتیبانی یکپارچه و آماده مصرف برای ServiceNow ،ConnectWise ،Jira و SalesForce
  • پشتیبانی Kafka برای یکپارچگی با گزارش‌‌گیری تحلیلات پیشرفته، مانند ELK ،Tableau و Hadoop
  • API برای یکپارچگی آسان با سیستم‌های آماده کننده
  • API برای اضافه کردن سازمان‌ها، ایجاد اطلاعات اعتباری، راه‌اندازی شناسایی و اصلاح و مانیتور رویدادها

مانیتورکردن Real-time

  • جمع‌آوری فایل‌های پیکربندی شبکه که در یک ذخیره‌گاه جدید ذخیره می‌شود.
  • جمع‌آوری نسخه‌های نصب شده نرم‌افزار که در یک ذخیره‌گاه جدید ذخیره می‌شود.
  • شناسایی خودکار تغییرات در پیکربندی شبکه و نرم‌افزار نصب شده.
  • شناسایی خودکار تغییرات فایل یا پوشه، Windows و Linux، جزئیات اینکه چه چیزی و چه کسی در تغییرات نقش داشته است.
  • شناسایی خودکار تغییرات فایل تنظیم تایید شده
  • شناسایی خودکار تغییرات Registry موجود در Windows از طریق FortiSIEM Windows Agent

ساختار تجهیزات و برنامه کاربردی

  • تجهیزات شبکه مانند سوئیچ‌ها، روترها و Wireless LAN
  • تجهیزات امنیتی – فایروال‌ها، IPS شبکه، Web/Email Gateways، محافظت در مقابل بدافزار، اسکن کننده‌های آسیب‌پذیری
  • سرورها مانند Windows ،Linux ،AIX ،HP UX
  • سرویس‌های زیرساختی مانند DNS ،DHCP ،DFS ،AAA، کنترل‌کننده‌های دامین، VoIP
  • برنامه‌های کاربردی User-Facing مانند وب سرورها، برنامه‌های کاربردی تحت وب، Mail، دیتابیس‌ها
  • تجهیزات ذخیره‌ساز مانند NetApp ،EMC ،Isilon ،Nutanix ،Data Domain
  • برنامه‌های کاربردی Cloud مانند AWS ،Box.com ،Okta ،Salesforce.com
  • زیرساخت Cloud مانند AWS
  • تجهیزات محیطی مانند UPS ،HVAC ،Device Hardware
  • زیرساخت مجازی‌سازی مانند VMware ESX ،Microsoft Hyper-V

Log Collection منعطف و توسعه پذیر

  • جمع‌آوری، تجزیه، نرمال‌سازی، Index کردن و ذخیره‌سازی Logهای امنیتی در سرعت‌های بالا
  • پشتیبانی آماده استفاده برای طیف گسترده‌ای از سیستم‌های امنیتی و APIهای Vendor – Cloud و On-Premises
  • Agentهای Windows جمع‌آوری قابل توسعه و غنی رویدادها را فراهم می‌کنند که شامل مانیتور کردن یکپارچگی فایل، تغییرات نرم‌افزار نصب شده و مانیتور کردن تغییرات Registry می‌شود
  • Agentهای Linux مانیتور کردن یکپارچگی فایل‌ها، مانیتورکردن Syslog و مانیتور کردن فایل سفارشی Log را فراهم می‌سازند
  • اصلاح تجزیه کنندگان از درون GUI و پیاده‌سازی دوباره در یک سیستم درحال کار بدون Downtime و از دست رفتن رویداد
  • ایجاد تجزیه کننده‌های جدید (Templateهای XML) از طریق محیط توسعه تجزیه‌کننده یکپارچه و به اشتراک‌گذاری میان کاربران از طریق Export/Import
  • جمع‌آوری ایمن و مطمئن رویدادها برای کاربران و تجهیزاتی که در هرجایی قرار دارند DATA SHEET | FortiSIEM® 5

ویژگی‌ها

داشبوردهای سفارشی غنی

  • چارچوب اعلان رویداد مبتنی بر Policy
  • توانایی راه‌اندازی یک اسکریپت حذف ایمن داده‌ها وقتی یک رویداد مشخص رخ می‌دهد.
  • یکپارچگی مبتنی بر API به سیستم Ticketing خارجی – ServiceNow ،ConnectWise و Remedy
  • سیستم Ticketing داخلی
  • گزارش رویدادها می‌تواند طوری سازمان‌بندی شود که بیشترین الویت را برای برنامه‌های کاربردی و سرویس‌های تجاری مهم داشته باشد.
  • راه‌اندازی الگوهای رویدادی پیچیده بطور Real-time
  • Incident Explorer – Link کردن پویای رویدادها به Hostها، IPها و کاربر به منظور فهم سریع تمامی رویدادهای مرتبط Rich Customizable Dashboards
  • داشبورد‌هایی که بطور Real-time تنظیم می‌شوند همراه با Scrollکردن Slide-Show برای نمایش KPIها
  • گزارشات و تحلیلات قابل اشتراک‌گذاری برای تمامی سازمان‌ها و کاربران
  • کدگذاری رنگی برای شناسایی مداوم مشکلات اساسی
  • بروزرسانی سریع از طریق رایانش In-Memory
  • داشبوردهای تخصصی لایه‌بندی شده برای سرویس‌های تجاری، زیرساخت مجازی، داشبورد وضعیت Logکردن رویداد و برنامه‌های کاربردی تخصصی

یکپارچگی هوش تهدیدات خارجی

  • APIها برای یکپارچگی هوش ارسال تهدیدات خارجی – دامین‌ها،IPها، URLها، Hashها و Tor Nodeهای بدافزار
  • یکپارچگی Built-In برای منابع هوش تهدیدات رایج – ThreatStream ،CyberArk ،SANS ،Zeus ،ThreatConnect
  • تکنولوژی رسیدگی به تهدیدات ارسالی بسیار – دانلود و به اشتراک‌گذاری Incremental درون کلاستر و هم‌خوانی Real-time الگو در ترافیک شبکه، قابل ذکر است تمامی موارد ارسال شده از STIX و TAXII پشتیبانی می‌شود.

مدیریت ساده و منعطف

  • GUI مبتنی بر Web
  • Rich Role-Based Access Control برای جلوگیری از دسترسی به GUI و داده‌ها در سطوح مختلف
  • تمامی ارتباطات Inter-Module توسط HTTPS محافظت می‌شوند
  • Audit Trail کامل فعالیت کاربر FortiSIEM
  • بروزرسانی آسان نرم‌افزار با حداقل Downtime و از دست رفتن رویداد
  • آرشیو‌بندی مبتنی بر Policy
  • Hashکردن Logها بطور Real-time برای تایید یکپارچگی و عدم پذیرش
  • احرازهویت پویای کاربر – Local ،External از طریق Microsoft AD و OpenLDAP ،Cloud SSO/SAML از طریقOkta ،Duo ، RADIUS
  • قابلیت Logکردن به سرور Remote پشت یک Collector از FortiSIEM GUI به وسیله Remote SSH Tunnel

توسعه زیرساختی آسان معماری

  • به عنوان ماشین‌های مجازی برای پیاده‌سازی Cloudهای On-Premises و Public-Private در Hypervisorهای زیرVMware ESX ، Microsoft Hyper-V ،KVM ،Amazon Web Services AMI و Azure
  • مدل‌های چندگانه تجهیزات فیزیکی با سطوح عملکرد مختلف برای فراهم‌سازی امکانات‌ متنوع پیاده‌سازی
  • توسعه گرد‌آوری داده‌ها با پیاده‌سازی چندین Collector
  • Collectorها می‌توانند زمانی که اتصال به FortiSIEM Supervisor در دسترس نیست، رویدادها را Buffer کنند
  • توسعه تحلیلات با پیاده‌سازی چندین Worker
  • معماری Built-In تعدیل بار شده برای جمع‌آوری رویدادها از سایت‌های Remote از طریق Collectorها
  • ذخیره‌ساز Log می‌تواند یک یا دیتابیس NoSQL اختصاصی FortiSIEM باشد یا Elasticsearch که حداکثر توسعه‌پذیری را فراهم می‌سازد
  • به منظور رفع الزامات دسترسی بالا، Supervisor می‌تواند با Instanceهای Active/Passive تنظیم شود

Agent پیشرفته FortiSIEM

FortiSIEM یک تکنولوژی بدون Agent بسیار کارآمد برای جمع‌آوری اطلاعات توسعه داده است. با این حال جمع آوری برخی اطلاعات مانند داده‌های مانیتورکردن یکپارچگی فایل، بطور Remote پرهزینه است. FortiSIEM تکنولوژی بدون Agent خود را با Agentهای با عملکرد بالا را برای Linux و Windows ترکیب کرده تا جمع‌آوری داده‌ها را بطور چشمگیری بهبود بخشد.   

مقاله های مرتبط:

بررسی راهکار Incident Management مبتنی بر Role در پلتفرم FortiSOAR
برچسب ها : socتفاوت مراکز SOC و NOCمرکز NOC چیستFortiSIEMقابلیت های FortiSIEM

مطلب مفید بود؟

 
بیشتر بخوانید