FortiAnalyzer. Сбор, анализ и обработки событий информационной безопасности
Количество и качественный уровень цифровых атак быстро расширяется, что усложняет именно защиту от продвинутых угроз.
По данным последнего исследования Ponemon, в ходе опроса более 2200 ИТ-специалистов и специалистов по безопасности, столкнувшихся с утечками данных, было установлено, что причиной 48% инцидентов стала атака злоумышленников, а также около 80% организаций сталкиваются с проблемой устаревания имеющихся средств защиты от кибератак по мере внедрения инновационных цифровых технологий. Кроме того, количество инцидентов в сфере ИБ и утечек данных растет в связи со сложностью и фрагментированностью инфраструктур.
В основном, компании достигают необходимого уровня безопасности корпоративных сетей при помощи набора специализированных средств защиты, изолированных друг от друга. Отсутствие взаимодействия между продуктами затрудняет отслеживание и анализ событий сотрудниками специальных подразделений компании, работающих с корпоративными сетями и обеспечением информационной безопасности.
Для обеспечения данного взаимодействия создано решение FortiAnalyzer, который собирает, анализирует, обрабатывает данные о событиях со всех устройств сетевой безопасности Fortinet или syslog-совместимых устройств. Сервис проводит мониторинг событий в целях обнаружения свежих хакерских атак или случаев поломок в сети.Используя набор легко изменяемых шаблонов отчетов, можно отфильтровать и оценить события по различным параметрам, включая трафик, события, вирус, атаку, web-контент, и содержимое почтовых сообщений – с целью определения состояния безопасности вашей системы и ее соответствие нормативным актам и стандартам. . FortiAnalyzer поддерживает следующие устройства: FortiGate, FortiManager, FortiMail,FortiClient, FortiDDoS, FortiWeb.
Решение имеет функции архивирования файлов, находящихся в карантине, корреляции событий, оценки уязвимости сети, анализа трафика в сети, архивации таких событий, как почтовые сообщения, доступ в Интернет, IM-сообщения, содержимое пересланных файлов.
Режим работы FortiAnalyzer
FortiAnalyzer может работать в двух режимах — Analyzer и Collector. Режим работы выбирается в зависимости от индивидуальных требований и топологии сети.
Информация о событиях представляется в виде удобных наглядных графиков, таблиц и отчётов. Логи предоставляются в понятном для восприятия виде за счет использования декларативного языка запросов SQL.
Преимуществом продукта является сбор статистики за длительный период. Логи архивируются и хранятся на RAID-массиве пока есть свободное место на жёстких дисках.
Варианты реализации FortiAnalyze
FortiAnalyzer может быть представлен в нескольких вариантах: в виде самостоятельного физического устройства, виртуальной машины с поддержкой разных гипервизоров; развернут в специализированных инфраструктурах AWS, Azure, Google Cloud; в качестве облачного сервиса FortiAnalyzer Cloud, компании Fortinet.