ارتباط دهی رویدادها و مدیریت ریسک یکپارچه برای شبکه های مدرن
آپ تایم برای کسب و کارهای دیجیتالی بسیار ضروری است و برای کاربران فرقی نمی کند که مشکلات اپلیکیشن به عملکرد یا امنیت مرتبط است. اینجاست که نقش FortiSIEM مشخص می شود.
آنالیز یکپارچه NOC و SOC (انحصاری و ثبت شده)
معماری توسعه یافته توسط فورتی نت به جمع آوری و آنالیز داده ها از منابع اطلاعاتی مختلف مانند لاگ ها، متریک های عملکرد، SNMP Trap ها، هشدارهای امنیت و تغییراتFortiSIEM پیکربندی کمک می کند. FortiSIEM آمارهای تحلیلی تحت کنترل در بخشهای مجزا (SOC و NOC) را دریافت می کند و برای فراهم سازی نظارت امنیتی جامع و قابلیت دسترسی کسب و کار، این داده ها را جمع آوری می نماید. تک تک بخش های اطلاعات به یک رویداد تبدیل می شوند و در وهله اول تجزیه می گردند. پس از آن برای مانیتورینگ ، به موتور آنالیز مبتنی بر رویداد ارسال می شوند.
یادگیری ماشین و UEBA
FortiSIEM برای تشخیص رفتار غیر طبیعی کاربر و موجودیت (UEBA) از یادگیری ماشین استفاده می کند و نیازی به نوشتن قواعد پیچیده توسط ادمین ندارد. FortiSIEM به شناسایی تهدیدات داخلی و ورودی که از امکانات دفاعی قبلی عبور می کنند، کمک می کند. هشدارهای دقیق نیز تهدیدات را اولویت بندی می کنند و نشان می دهند که کدام یک از آن ها نیازمند توجه فوری هستند.
نمره دهی به ریسک کاربر و تجهیزات
FortiSIEM به کاربران و تجهیزاتی که می توانند قواعد UEBA و آنالیزهای دیگر را تقویت کنند یک امتیاز ریسک اختصاص می دهد. این امتیازات ریسک با ترکیب نقاط داده مختلف مربوط به کاربر و تجهیز محاسبه می شوند. امتیازات ریسک کاربر و تجهیز در یک داشبورد ریسک موجودیت ذخیره می شوند.
ویژگی های کلیدی FortiSIEM 3500F
ارتباط دهی رویدادها به صورت آنی و گسترده
ارتباط دهی رویداد ها مسئله ای دشوار است، چون چند دستگاه مجبورند وضعیت های جزئی خود را به صورت آنی به اشتراک بگذارند تا قاعده ای اجرا شود. اگرچه بسیاری از عرضه کنندگان SIEM دارای قابلیت های جمع آوری داده های پراکنده و جستجوی توزیع شده اند اما Fortinet تنها عرضه کننده ای است که موتور ارتباط دهی این رویدادها را در اختیار دارد. الگوهای رویداد پیچیده به صورت آنی شناسایی می شوند. این الگوریتم انحصاری به FortiSIEM کمک می کند تعداد زیادی از قواعد را به صورت آنی و با سرعت بالا مدیریت کند.
موتور کشف زیرساخت و اپلیکیشن خودکار (CMDB)
حل سریع مشکلات به زیرساخت نیاز دارد. در اغلب محصولات تجزیه و تحلیل لاگ و SIEM ، ادمین ناچار است شرایط را به صورت دستی فراهم کند که موجب ناکارآمد شدن آن می شود و به شدت مستعد خطاهای انسانی است. فورتی نت موتوری هوشمند برای کشف زیرساخت مناسب و اپلیکیشن توسعه دارد که زیرساخت فیزیکی و مجازی و کلودهای داخلی و عمومی/خصوصی را صرفاً با استفاده از امتیاز و بدون اطلاع قبلی از دیوایس ها و اپلیکیشن ها شناسایی می کند.
CMDB (دیتابیس مدیریت متمرکز) به آنالیز حرفه ای رویداد (context aware) با CMDB Objects ، در شرایط جستجو کمک زیادی می کند.
بررسی پویای هویت کاربر
هویت تجهیزات متصل به شبکه (آدرس آی پی و مک آدرس) به هویت کاربر (نام لاگ، نام کامل و نقش سازمان) برای آنالیز لاگ امری حیاتی است. به دلیل این که کاربران از طریق DHCP یا VPN آدرس های جدیدی می گیرند این اطلاعات دائماً در حال تغییرند.
فورتی نت روشی به نام بررسی پویای هویت کاربر را ارائه کرده است. کاربران و نقش ها آن ها از منابع داخلی یا Cloud SSO شناسایی می شوند. هویت شبکه از رویدادهای مهم شبکه شناسایی می شوند. پس از آن برای ایجاد گزارش وقایع ، اطلاعات هویتی اضافه می شود. با این کار امکان ایجاد سیاست ها یا بررسی های مبتنی بر هویت کاربر به جای آدرس های آی پی فراهم می شود و مشکلات با سرعت بیشتری حل می شوند.
فریم ورک تجزیه لاگ سفارشی سریع و انعطاف پذیر (انحصاری و ثبت شده)
تجزیه لاگ مؤثر به اسکریپت های سفارشی نیاز دارد اما ممکن است اجرای آن ها به خصوص برای لاگ های حجیم مانند اکتیو دایرکتوری (Active Directory)، لاگ های فایروال و ... با کندی مواجه شود. از طرف دیگر نیز اجرای کد کامپایل شده با سرعت زیادی انجام می شود اما انعطاف پذیری بالایی ندارد، چون نیازمند انتشار نرم افزارهای جدید است. فورتی نت زبان تجزیه رویداد مبتنی بر XML را توسعه داده است که مانند زبان های برنامه نویسی سطح بالا عمل می کند و ویرایش آن ساده است و در عین حال در اجرا قابلیت کامپایل دارد. تمام تجزیه کننده های FortiSIEM به کمک این راهکار انحصاری بهتر از سایر رقبا عمل می کنند و با سرعت بیش از 10K EPS سرعت دارند.
داشبورد سرویس های کسب و کار (تحولی در نمای سیستم به سرویس)
SIEM ها در حالت سنتی بخش های مجزا (مانند سرورها، اپلیکیشن ها، دیتابیس ها و ...) را تحت نظارت دارند اما آنچه اغلب سازمان واقعاً به آن اهمیت می دهند، سرویس هایی است که این سیستم ها از آن ها قدرت می گیرند. FortiSIEM در حال حاضر امکان ایجاد ارتباط میان بخش های مختلف و کاربری آن ها را فراهم کرده است و اطلاعات خوبی را در مورد قابلیت های دسترسی به شما ارائه می دهد.
کاهش خطر خودکار حوادث
در صورت بروز حادثه می توان برای کاهش خطر یا از بین بردن تهدید دست به اجرای اسکریپت زد. اسکریپت های داخلی از تجهیزات مختلفی نظیر فورتی نت، سیسکو، پالو آلتو و سرورهای ویندوز/لینوکس پشتیبانی می کنند. اسکریپت های داخلی قادرند انواع کارها مانند غیرفعال سازی حساب اکتیو دایرکتوری کاربر، غیرفعال سازی یک پورت سوئیچ، مسدود کردن آدرس آپی بر روی فایروال، لغو احراز هویت کاربر روی اکسس پوینت WLAN و ... را اجرا کنند. اسکریپت ها از اعتبارنامه هایی استفاده می کنند که FortiSIEM در CMDB دارد. ادمین می تواند با ایجاد اسکریپت های مورد نظر خود این کارها را به سادگی توسعه دهد.
افزودن هوش امنیتی
هوش تهدید فورتی گارد و شاخص های اختلال (IOC) و هوش تهدید (TI) منابع داده تجاری، متن باز و سفارشی هستند و به سادگی با فریم ورک امنیتی TI یکپارچه سازی می شوند. این یکپارچگی منابع مختلف داده به سازمان ها کمک می کند ریشه اصلی تهدیدات را شناسایی کنند و اقدامات لازم برای اصلاح و جلوگیری از وقوع آن ها در آینده را انجام دهند. با وجود Library جدید Threat Mitigation در بسیاری از محصولات فورتی نت، امکان خودکارسازی مراحل این کار وجود دارد.
معماری منابع مشترک برای ارائه دهندگان بزرگ سرویس های سازمانی و مدیریت شده
فورتی نت دست به توسعه معماری استفاده از منابع مشترک و کاملاً قابل تنظیمی زده است که به سازمان ها و ارائه دهندگان خدمات کمک می کند گستره عظیمی از حوزه های فیزیکی/منطقی و سیستم ها و شبکه های همپوشان را از یک کنسول واحد مدیریت کنند. مقایسه اطلاعات حوزه های فیزیکی و شبکه مشتریان در این محیط بسیار ساده است. علاوه بر این برای هر یک از آن ها می توان گزارش ها، قواعد و داشبوردهای منحصر به فردی را ایجاد کرد که قابلیت پیاده سازی در مجموعه گسترده ای از حوزه های گزارش گیری و مشتریان را دارند. علاوه بر این می توان برای هر حوزه یا مشتری، سیاست های آرشیو رویداد را پیاده سازی کرد. کنترل های دقیق RBAC سطوح دسترسی مختلفی را برای مدیران شبکه و مشتریان فراهم کرده اند. برای MSSP های بزرگ می توان کالکتورها را به صورت مشترک پیکربندی نمود تا سربار کلی پیاده سازی کاهش یابد.
قابلیت های FortiSIEM 3500F
اطلاعات عملیاتی بی وقفه برای آنالیز سریع امنیت
- اطلاعات دقیق و به روز از تجهیزات (پیکربندی، نرم افزار و پچ های نصب شده و سرویس های در حال اجرا)
- آنالیز عملکرد سیستم و اپلیکیشن به همراه داده های ارتباط متقابل، برای رده بندی سریع مشکلات امنیتی
- اطلاعات کاربر به همراه رکوردهای آدرس آی پی، تغییرات هویت کاربر و مکان فیزیکی و جغرافیایی
- تشخیص تجهیزات، اپلیکیشن ها و تغییرات غیرمجاز در شبکه
گزارش های آماده برای بررسی پیروی از قوانین
- گزارش های آماده و از پیش تعریف شده برای گستره عظیمی از نیازهای بررسی و مدیریت قوانین و مقررات از جمله PCI-DSS، HIPAA، SOX، NERC، FISMA، ISO، GLBA، GPG13، SANS Critical Controls، COBIT، ITIL، ISO 27001، NERC، NIST800-53، NIST800-171 و NESA
- به منظور برآوردن الزامات GDPR، امکان پنهان کردن اطلاعات شخصی قابل شناسایی (PII) بر اساس نقش ادمین وجود دارد.
مانیتورینگ عملکرد
- نظارت و کنترل بر متریک های ابتدایی سیستم و رایج
- سطح سیستم از طریق SNMP، WMI و PowerShell
- سطح اپلیکیشن از طریق JMX، WMI و PowerShell
- مانیتورینگ مجازی برای VMware، Hyper-V (سطح مهمان، میزبان، منابع و کلاستر)
- مانیتورینگ استفاده از فضای ذخیره سازی و عملکرد (EMC، NetApp، Isilon، Nutanix، Nimble و Data Domain)
- مانیتورینگ ویژه عملکرد اپلیکیشن
- Microsoft Active Directory و Exchange از طریق WMI و Powershell
- دیتابیس ها (Oracle، MS SQL، MySQL از طریق JDBC)
- زیرساخت ویپ (VoIP) از طریق IPSLA، SNMP و CDR/CMR
- آنالیز جریان و عملکرد اپلیکیشن (Netflow، SFlow، Cisco AVC، NBAR و IPFix)
- قابلیت افزودن متریک های سفارشی
- متریک های مبنا و تشخیص انحرافات قابل توجه
مانیتورینگ قابلیت دسترسی
- مانیتورینگ up/down سیستم (از طریق Ping، SNMP، WMI، Uptime Analysis، Critical Interface، Critical Process and Service، تغییر وضعیت BGP/OSPF/EIGRP و up/down پورت Storage)
- مدل سازی قابلیت دسترسی سرویس از طریق Synthetic Transaction Monitoring (Ping، HTTP، HTTPS، DNS، LDAP، SSH، SMTP، IMAP، POP، FTP، JDBC، ICMP و trace route برای پورت های عمومی TCP/UDP)
- تقویم برای زمان بندی تعمیر و نگهداری
- محاسبه SLA (ساعات اداری عادی و لحاظ کردن زمان های بعد از ساعات اداری)
آنالیز قدرتمند و مقیاس پذیر
- جستجوی آنی رویدادها (بدون نیاز به ایندکس کردن)
- جستجوی مبتنی بر کلمه کلیدی و رویداد
- جستجوی رویدادهای تاریخی (فیلترهای زمان، تطبیق عبارت منظم، عبارت های محاسبه شده)، GUI و API
- به کارگیری CMDB قابل کشف و داده های کاربر/هویت و موقعیت مکانی در جستجوها و قواعد
- زمان بندی گزارش ها و ارائه نتایج از طریق ایمیل به سهامداران اصلی و افراد ذینفع
- جستجوی رویدادها در کل سازمان یا در یک دامنه گزارش گیری منطقی
- Watch-list پویا برای نظارت بر متخلفین مهم (به همراه قابلیت استفاده از Watch-listدر انواع قواعد گزارش گیری)
- تغییر مقیاس فیدهای تحلیلی با افزودن گره های (Worker) بدون خاموشی
مبناسازی (بیس لاینینگ) و تشخیص ناهنجاری آماری
- مبناسازی رفتار اندپویت/سرور/کاربر (با تفکیک ساعات روز و روزهای هفته/تعطیلی های آخر هفته)
- کاملاً انعطاف پذیر (امکان مبناسازی مجموعه کلیدها و متریک ها)
- قابل تنظیم برای ناهنجاری های آماری
یکپارچه سازی با تکنولوژی های خارجی
- یکپارچه سازی با انواع وب سایت های خارجی برای جستجوی آدرس آی پی
- یکپارچه سازی مبتنی بر API برای منابع هوش تهدید خارجی
- یکپارچگی دو طرفه مبتنی بر API به کمک سیستم های دسک (پشتیبانی بی وقفه از ServiceNow، ConnectWise و Remedy)
- یکپارچگی دو طرفه مبتنی بر API به کمک CMDB خارجی (پشتیبانی از ServiceNow، ConnectWise، Jira و SalesForce)
- پشتیبانی Kafka از یکپارچگی با Analytics Reporting پیشرفته (مانند ELK، Tableau و Hadoop)
- API برای یکپارچه سازی آسان
- API برای افزودن سازمان ها، ساخت اعتبارنامه، کشف و ویرایش رویدادهای مانیتورینگ
مانیتورینگ آنی تغییر پیکربندی
- جمع آوری فایل های پیکربندی شبکه
- جمع آوری نسخه نرم افزارهای نصب شده
- تشخیص خودکار تغییر در پیکربندی شبکه و نرم افزار نصب شده
- تشخیص خودکار تغییرات فایل/پوشه (ویندوز و لینوکس) و اطلاعات فرد تغییر دهنده و آیتم های تغییر یافته
- تشخیص خودکار تغییرات از فایل پیکربندی
- تشخیص خودکار تغییرات رجیستری ویندوز از طریق FortiSIEM windows agent
وضعیت دیوایس و اپلیکیشن
- تجهیزات شبکه شامل سوئیچ ها، روترها و LAN وایرلس
- تجهیزات امنیتی (فایروال ها، IPS شبکه، درگاه های وب/ایمیل، محافظت در برابر بدافزار و اسکنرهای آسیب پذیری
- سرورهای ویندوز، لینوکس، AIX و HP UX
- سرویس های زیرساخت شامل DNS، DHCP، DFS، AAA، Domain Controllers و VoIP
- اپلیکیشن های مختص کاربران از جمله وب سرورها، اپ سرورها، میل و دیتابیس ها
- تجهیزات ذخیره سازی شامل NetApp، EMC، Isilon، Nutanix و Data Domain
- اپلیکیشن های کلود شامل AWS، com، Okta و Salesforce.com
- زیرساخت کلود شامل AWS
- تجهیزات محیطی از جمله UPS، دستگاه های تهویه مطبوع
- زیرساخت مجازی سازی شامل VMware ESX و جمع آوری لاگ انعطاف پذیر و مقیاس پذیر مایکروسافت یعنی Hyper-V
کالکشن لاگ انعطاف پذیر و مقیاس پذیر
- جمع آوری، تجزیه، نرمالیزه کردن، ایندکس کردن و ذخیره لاگ های امنیتی با سرعت بسیار بالا
- پشتیبانی از انواع سیستم های امنیتی و API های عرضه کنندگان بر روی زیرساخت های داخلی و کلود
- فراهم سازی مجموعه رویدادهای مقیاس پذیر و غنی توسط Windows Agents شامل مانیتورینگ یکپارچگی فایل، تغییرات صورت گرفته در نرم افزار نصب شده و مانیتورینگ تغییر در رجیستری
- فراهم سازی قابلیت های مانیتورینگ یکپارچگی فایل، مانیتورینگ syslog و مانیتورینگ فایل لاگ به صورت سفارشی
- ویرایش از طریق GUI (رابط کاربری گرافیکی) و پیاده سای مجدد بر روی سیستم در حال اجرا بدون خاموشی
- ایجاد تجزیه کننده های جدید (قالب های XML) از طریق محیط توسعه تجزیه کننده داخلی و اشتراک گذاری میان کاربران از طریق عملکرد Export و Import
- جمع آوری امن و قابل اطمینان رویدادها برای کاربران و تجهیزات تمام نقاط جغرافیایی
قابلیت های ویژه FortiSIEM 3500F
مدیریت نوتیفیکیشن و حوادث
- فریم ورک اعلان حوادث مبتنی بر سیاست
- قابلیت تریگر اسکریپت اصلاح و بازسازی هنگام وقوع حادثه ای معین
- یکپارچگی مبتنی بر API با سیستم های تیکتینگ خارجی مانند ServiceNow، ConnectWise و Remedy
- سیستم Ticketing داخلی
- قابلیت ساختاردهی به گزارش حوادث به منظور اولویت بندی سرویس ها و اپلیکیشن های حیاتی کسب و کار
- تریگر با الگوی رویدادهای پیچیده به صورت لحظه ای
- لینک کردن حوادث به هاست ها، IP ها و کاربر توسط Incident Explorer برای درک تمام حوادث مرتبط
داشبوردهای با قابلیت سفارشی سازی بالا
- داشبوردهای قابل تنظیم برای نمایش KPI ها
- گزارش ها و تجزیه و تحلیل های قابل اشتراک گذاری میان سازمان ها و کاربران
- کدگذاری با رنگ برای شناسایی سریع مشکلات مهم و حیاتی
- بسیار سریع (از طریق محاسبات درون حافظه ای)
- داشبوردهای لایه ای ویژه برای سرویس های کسب و کار، زیرساخت مجازی، داشبورد وضعیت لاگ گیری رویداد و اپلیکیشن های ویژه
یکپارچگی با هوش تهدید خارجی
- API های مختلف برای یکپارچه سازی هوش تهدید (دامنه های بدافزار، IP ها، URL ها، هش ها و نودهای Tor
- قابلیت یکپارچه سازی داخلی برای منابع هوش تهدید مشهور (ThreatStream، CyberArk، SANS، Zeus و ThreatConnect)
- تکنولوژی مدیریت فیدهای تهدید بزرگ (دانلود و اشتراک گذاری در کلاستر، تطبیق الگوی آنی با ترافیک شبکه) و پشتیبانی از تمام فیدهای STIX و TAXII
مدیریت آسان و انعطاف پذیر
- رابط کاربری تحت وب
- کنترل دسترسی مبتنی بر نقش برای محدود کردن دسترسی به GUI و داده ها در سطوح مختلف
- محافظت از تمام ارتباطات میان ماژول ها از طریق HTTPS
- ضبط کامل تمام فعالیت های کاربر FortiSIEM
- ارتقای آسان نرم افزار با حداقل وقفه و از دست رفتن رویدادها
- آرشیوسازی مبتنی بر سیاست ها
- درهم سازی لاگ ها به صورت آنی برای تأیید عدم انکار (non-repudiation) و یکپارچگی
- احراز هویت انعطاف پذیر (محلی، خارجی از طریق Microsoft AD و OpenLDAP، Cloud SSO/SAML از طریق Okta، Duo و RADIUS
- قابلیت ورود به سرور ریموت پشت کالکتور از FortiSIEM GUI و از طریق تونل SSH ریموت
معماری با قابلیت مقیاس پذیری آسان
- قابلیت دسترسی به صورت ماشین مجازی برای پیاده سازی در زیرساخت داخلی و کلود عمومی/خصوصی بر روی هایپروایزرها (VMware ESX، Microsoft Hyper-V، KVM، Amazon Web Services AMI و Azure
- مدل های اپلاینس فیزیکی مختلف به همراه سطوح مختلف عملکرد برای فراهم سازی انواع روش ها و گزینه های پیاده سازی
- تغییر مقیاس مجموعه داده ها با پیاده سازی کالکتورهای مختلف
- قابلیت بافر رویداد توسط کالکتورها در صورت عدم اتصال به FortiSIEM Supervisor
- تغییر مقیاس تجزیه و تحلیل با پیاده سازی (Worker) مختلف
- معماری داخلی با بار متعادل برای جمع آوری رویدادها از سایت های ریموت از طریق کالکتورها
- امکان استفاده از دیتابیس NoSQL اختصاصی FortiSIEM یا Elasticsearch به عنوان ذخیره ساز لاگ که انعطاف پذیری بالایی را فراهم می کنند
- امکان پیکربندی Supervisor با نمونه های Active/Passive برای پیروی از الزامات قابلیت دسترسی
ایجنت های پیشرفته FortiSIEM
فورتی نت برای جمع آوری اطلاعات دست به توسعه تکنولوژی قدرتمندی زده است. اما جمع آوری برخی اطلاعات مانند داده های مانیتورینگ یکپارچه از راه دور بسیار پرهزینه است. FortiSIEM تکنولوژی بدون ایجنت خود را با ایجنت های قدرتمند ویندوز و لینوکس ترکیب کرده است تا جمع آوری داده را تقویت کند.
لایسنس های FortiSIEM 3500F
لایسنس های FortiSIEM، قابلیت های اصلی برای کشف تحلیلی تجهیزات همبسته شبکه را دارند. این تجهیزات شامل سوئیچ ها، روترها، فایروال ها، سرورها و ... می شوند. هر یک از تجهیزاتی که باید تحت کنترل و نظارت قرار گیرند به یک لایسنس نیاز دارند. هر لایسنس از قابلیت ثبت و ارتباط دهی داده ها، اعلام هشدار، گزارش، تجزیه و تحلیل، جستجو و منبع داده بهینه پشتیبانی می کند و دارای قدرت ده EPS است (رویداد بر ثانیه). EPS معیاری برای عملکرد است که تعداد پیام ها یا رویدادهای ارسال هر تجهیز را بر حسب ثانیه می سنجد. در صورت نیاز به EPS بیشتر می توان آن را به صورت مجزا خریداری نمود. لایسنس ها در دو نسخه «Subscription» (اشتراک) و «Perpetual» (دائمی) عرضه می شوند.
FortiSIEM FSM-3500F |فروش FortiSIEM FSM-3500F | قیمت FortiSIEM FSM-3500F | خرید FortiSIEM FSM-3500F |