1 - Introdução - FORTISIEM

Machine Translated by Google Introdução
NÃO REIMPRIMA ©
FORTINET
Nesta lição, você aprenderá o que é um gerenciamento de eventos e informações de segurança (SIEM) e como o FortiSIEM é diferente de
outros SIEMs.
Você também aprenderá sobre a arquitetura FortiSIEM e algumas configurações iniciais.
Guia de estudo do FortiSIEM 6.3 4

NÃO REIMPRIMA ©
FORTINET
Nesta lição, você explorará os tópicos mostrados neste slide.

NÃO REIMPRIMA ©
FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência na compreensão dos SIEMs e como o FortiSIEM é diferente de outros SIEMs, você poderá usar efetivamente
a força do FortiSIEM.

NÃO REIMPRIMA ©
FORTINET
SIEM é um acrônimo cunhado por Mark Nicolett do Gartner. Essencialmente, o SIEM combina o que eram anteriormente
dois métodos de análise de dados de log de elementos de rede.
O SIM, ou gerenciamento de informações de segurança, coleta dados em um repositório central para análise de tendências
e fornece relatórios automatizados para conformidade e relatórios centralizados. SEM, ou gerenciamento de eventos de
segurança, centraliza o armazenamento e a interpretação de logs e permite análises quase em tempo real, o que permite
que o pessoal de segurança tome ações defensivas mais rapidamente. Isso também é conhecido como resposta a incidentes (IR).
Ao reunir SIM e SEM, os sistemas SIEM se concentram em fornecer identificação, análise, isolamento e recuperação mais
rápidos de ameaças e eventos de segurança. Uma função fundamental e abrangente dos SIEMs é ajudar os gerentes de
conformidade a monitorar e validar a conformidade da rede com os requisitos regulatórios e de conformidade.

NÃO REIMPRIMA ©
FORTINET
Como você sabe, a probabilidade de uma violação está se tornando muito real para muitas organizações. Isso se deve, em
parte, à abordagem ineficiente e isolada que normalmente existe em muitas organizações de TI. O centro de operações de
rede (ou NOC) concentra-se principalmente no desempenho, disponibilidade e tempo de atividade da rede. O centro de
operações de segurança (ou SOC) concentra-se principalmente na segurança da rede e nos esforços de conformidade.
Cada departamento geralmente emprega uma ampla variedade de sistemas e ferramentas, que raramente são
integrados ou correlacionados em uma visão coesa e abrangente da rede geral da organização. Todos esses fatores
se somam a um ambiente complexo de monitoramento e geração de relatórios, o que aumenta a probabilidade de
ameaças e violações passarem despercebidas por algum tempo. Além disso, os riscos de violação continuam a aumentar
devido a uma lista cada vez maior de fontes e tipos de ameaças, como a Internet das Coisas (IoT). Quando ocorre uma
violação, ela representa um grande desafio para muitas organizações, porque a estrutura de seu ambiente é projetada de
forma que os métodos usados para lidar com violações geralmente sejam reativos, em vez de proativos.
A obtenção da perícia necessária para identificar a causa raiz de uma violação exige que todas as equipes de TI
estejam no convés e tragam dados dos diferentes sistemas que gerenciam. Além disso, como não há uma fonte única de
análise, eles precisam simplificar seus esforços. Para desempenhar essas funções, os representantes de TI devem ser
afastados de suas operações diárias normais, e a produtividade é afetada à medida que realizam a tediosa correlação
manual de dados dos sistemas de cada departamento.

NÃO REIMPRIMA ©
FORTINET
A análise patenteada do FortiSIEM pode correlacionar dados provenientes do NOC com dados provenientes do SOC.
A capacidade do FortiSIEM de unificar pontos de dados tradicionalmente dispersos em uma ampla variedade de ferramentas e fontes
NOC e SOC permite que organizações e usuários monitorem, façam correlação cruzada e analisem, em tempo real, várias fontes e
tipos de informações de eventos. Nesse contexto mais profundo, as organizações são mais propensas e mais capazes de identificar
ameaças e suas causas principais para uma correção mais rápida. Essas ricas fontes de dados também fornecem a base para painéis e
relatórios mais abrangentes.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM excede as funções básicas do SIEM com seus diferenciadores competitivos exclusivos e patenteados.
O FortiSIEM fornece às organizações análises acionáveis, derivadas e correlacionadas de fontes dinâmicas de
dados. Os principais objetivos do FortiSIEM são: • Permitir que as organizações detectem ameaças e violações mais
cedo • Fornecer contexto profundo para as causas principais • Fornecer as informações necessárias para remediar
e prevenir ameaças futuras
As características que tornam o FortiSIEM único são: •

Análise patenteada em tempo real • Descoberta de
configuração e ativos em tempo real • Suporte específico
para escalabilidade rápida • Uma arquitetura multilocatário
• Integrações de tecnologia de terceiros rápidas e
flexíveis • Entrega analítica por meio de um painel único
de vidro • Uma plataforma integrada que executa operações
automatizadas de rede e segurança e pode fazer correlação cruzada
dados de eventos de segurança com dados de desempenho de rede e infraestrutura para fornecer análises SOC e
NOC em tempo real. O FortiSIEM é o único SIEM no mercado que oferece esse recurso.
O FortiSIEM fornece visibilidade de toda a infraestrutura de uma organização. Ele fornece informações sobre o
desempenho em tempo real da infraestrutura em relação aos dados de eventos de segurança. Para fornecer essas
informações e aumentar a visibilidade do Fortinet Security Fabric, o FortiSIEM usa APIs que coletam informações
adicionais de fontes externas de inteligência de ameaças e se integram a centenas de parceiros de tecnologia em toda a pilha.

NÃO REIMPRIMA ©
FORTINET
Para que qualquer ferramenta SIEM seja eficaz, ela deve estar ciente do que está conectado à rede e ser capaz de
coletar eventos e registrar dados de todos os elementos relevantes. Qualquer elemento conectado à rede que seja
desconhecido para o SIEM pode expor uma violação da organização. Isso é especialmente uma preocupação com
elementos não autorizados, como aqueles associados à IoT.
O ForitiSIEM é a única ferramenta SIEM no mercado que possui um mecanismo de autoaprendizagem, descoberta de
ativos e configuração de dispositivos em tempo real em sua plataforma. Muitas soluções SIEM concorrentes exigem
que esses dados sejam inseridos manualmente, o que introduz o potencial de erro humano e também aumenta a
probabilidade de que as informações estejam desatualizadas assim que são inseridas. Esse processo ajuda as
organizações a estabelecer linhas de base para suas redes e identificar o comportamento normal, o que ajuda a formar
os critérios para condições anormais que gerarão alertas e alarmes.
As informações de descoberta são armazenadas no CMDB. Depois de inserir as credenciais do administrador do

dispositivo, bem como o intervalo de endereços IP existentes na rede, o CMDB tem a capacidade exclusiva de descobrir
todos os elementos físicos e virtuais da infraestrutura de rede.

NÃO REIMPRIMA ©
FORTINET
A descoberta identifica e classifica dispositivos de rede, como roteadores, switches e firewalls, bem como ambientes virtuais e de nuvem
na rede. Mas não para por aí. Ele também procura aplicativos e serviços de negócios em execução na rede, bem como usuários autorizados
e suas funções.
Depois que os detalhes da linha de base do FortiSIEM CMDB são estabelecidos, a organização pode identificar os critérios de alerta e
alarme que, quando atendidos, acionam notificações automáticas quando ocorrem alterações nos limites estabelecidos.

NÃO REIMPRIMA ©
FORTINET
Revise os principais recursos que diferenciam o FortiSIEM das plataformas SIEM padrão.
Descoberta de ativos ativos e monitoramento de desempenho: o FortiSIEM pode realizar a descoberta de ativos
ativos. Possui um CMDB integrado para auxiliar no gerenciamento de ativos. O FortiSIEM realiza monitoramento de
desempenho e disponibilidade, como monitoramento de CPU, memória, armazenamento e alteração de configuração.
Isso amplia a funcionalidade da plataforma e fornece ao usuário dados contextuais adicionais.
Arquitetura de expansão: a arquitetura de máquina virtual (VM) do FortiSIEM permite escalabilidade rápida,
aumenta facilmente o desempenho e a capacidade de processamento de log adicionando dispositivos virtuais e
não há custo para máquinas virtuais.
Painel único: a maioria dos recursos do FortiSIEM, incluindo painéis, análises, incidentes, CMDB e
administração, são acessados por meio de uma GUI intuitiva baseada na Web. O controle de acesso baseado em
função (RBAC) personalizável permite que as organizações controlem o que cada usuário pode acessar.
Recursos MSSP para vários locatários: o FortiSIEM oferece suporte a implantações de MSSP com um conjunto de recursos multilocatário escalável,
incluindo uma GUI personalizável e compatível com vários locatários, um banco de dados com capacidade para vários locatários e uma arquitetura
escalável com capacidade para vários locatários.
Integração FortiGuard: a assinatura FortiSIEM IOC fornece acesso ao feed de ameaças FortiGuard Indicators of
Compromise. Você pode correlacionar esse feed de ameaças de alto valor com logs para ajudar a identificar o
tráfego mal-intencionado.
Obviamente, o FortiSIEM também executa funções SIEM tradicionais, como gerenciamento central de logs, análise e
alerta automatizados, análise e relatórios de log e painéis.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA ©
FORTINET
Bom trabalho! Agora você entende o que é um SIEM e como o FortiSIEM é único no mercado.
Agora, você aprenderá sobre a arquitetura FortiSIEM.

NÃO REIMPRIMA ©
FORTINET
Depois de concluir esta seção, você será capaz de atingir os objetivos mostrados neste slide.
Ao demonstrar competência na compreensão da arquitetura do FortiSIEM, você será capaz de descrever os principais componentes do
FortiSIEM e sua arquitetura de banco de dados exclusiva.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM recebe logs de várias fontes, como syslog e outros. Depois de receber os logs, o FortiSIEM analisa e
normaliza os dados.
Existem cinco tarefas primárias de análise de dados:
• Indexar os dados e armazená-los em um banco de dados de

eventos • Pesquisar os dados • Correlacionar os dados no modo
streaming para acionar regras (anomalias comportamentais) • Criar um banco de dados de
localização e identidade do usuário para adicionar contexto aos dados • Criar linhas de base
para detecção de anomalias
Nesta lição, você aprenderá como o FortiSIEM realiza todas as tarefas listadas acima.

NÃO REIMPRIMA ©
FORTINET
Um elemento-chave da arquitetura FortiSIEM é seu fator de forma. O FortiSIEM está disponível como um dispositivo virtual e também um
dispositivo físico. O FortiSIEM está disponível como um dispositivo de hardware. Ele também está disponível como uma máquina virtual
CentOS reforçada de 64 bits que é pré-configurada e pré-instalada com o FortiSIEM para seu ambiente de hipervisor.
O FortiSIEM suporta VMware, Windows Hyper-V, AWS da Amazon e Red Hat KVM.

NÃO REIMPRIMA ©
FORTINET
Atualmente, três modelos estão disponíveis para dispositivos de hardware FortiSIEM: •

Coletor – FSM-500F • Dispositivo multifuncional de médio alcance – FSM-2000F •
Dispositivo multifuncional de ponta – FSM-3500F • Consulte o início rápido guia para
cada modelo de hardware para mais informações.

NÃO REIMPRIMA ©
FORTINET
Um grande benefício do fator de forma FortiSIEM é a escalabilidade. Se sua empresa crescer e você começar a enviar mais dados para
o FortiSIEM do que foi configurado inicialmente para lidar, você pode atualizar a VM e adicionar mais recursos. É fácil adicionar CPUs,
memória e até armazenamento a VMs. Não há cobranças ou taxas da Fortinet, ao contrário de alguns fornecedores que cobram pelo
número de CPUs usadas. Você também pode adicionar VMs adicionais — coletores e trabalhadores — sem nenhum custo extra. Os
requisitos mínimos de hardware para um supervisor são 16 vCPU, 32 GB de RAM e armazenamento adicional para o banco de dados de
eventos (500 EPS ~= 1 TB/ano).
Não há limites de tamanho para o banco de dados de eventos e nenhuma cobrança ou taxa para armazenar meses ou anos de dados. Isso
é importante observar ao considerar relatórios de conformidade, e o PCI ou HIPPA exige que você armazene um ano de dados para fornecer
relatórios de auditoria apropriados. É muito fácil determinar a quantidade de armazenamento necessária. Se sua rede está enviando 500
eventos por segundo para o FortiSIEM, ela requer aproximadamente 1 TB de espaço de armazenamento para um ano de dados. E essa
equação é muito linear. Um EPS de 1.000 exigiria 2 TB e um EPS de 1.500 requer 3 TB de armazenamento.
Você pode usar uma equação linear semelhante ao calcular os requisitos de armazenamento para dados de desempenho. Armazenar
métricas de monitoramento de desempenho e disponibilidade para 500 dispositivos ocupa cerca de 100 GB de espaço em disco por ano.
Assim, as métricas de 1.000 dispositivos requerem 200 GB e 1.500 dispositivos requerem 300 GB de armazenamento para um ano de
dados. Consulte o Guia do usuário do FortiSIEM para obter os requisitos de hardware para o supervisor, trabalhador e coletor com base
no EPS licenciado.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM escala perfeitamente de pequenas empresas a grandes empresas e provedores de serviços distribuídos
geograficamente. • Para implantações menores, você pode implantar o FortiSIEM como um único hardware tudo-em-um
ou máquina virtual que
contém todas as funcionalidades do produto. •
Para ambientes maiores que precisam de maior taxa de transferência de manipulação de eventos, você pode implantar
o FortiSIEM em um cluster de supervisor e máquinas virtuais de trabalho.
Existem três tipos de nós FortiSIEM: • Supervisor

• Trabalhador • Coletor
Os nós supervisor e trabalhador residem dentro do data center e executam funções de análise de dados usando
algoritmos cooperativos distribuídos.
Os coletores são usados para dimensionar a coleta de dados de vários ambientes de rede geograficamente separados que
residem potencialmente atrás de firewalls. Os coletores se comunicam com os dispositivos, coletam, analisam e compactam
os dados e, em seguida, enviam os dados para os nós supervisores/trabalhadores por meio de um canal HTTP(S) seguro
com balanceamento de carga.
Você revisará vários cenários de implantação usando esses três nós posteriormente nesta lição.
Os dispositivos de rede, como roteadores, switches e firewalls, geralmente possuem recursos de syslog. Ou seja, eles
têm a capacidade de enviar logs de auditoria para um coletor de syslog. Dispositivos de servidor como servidores Linux,
por exemplo, normalmente executam um daemon syslog, que novamente permite que os dispositivos enviem os logs para o
FortiSIEM. Outros dispositivos de servidor, como servidores Windows, não têm a capacidade de enviar mensagens syslog
nativamente. Para esses dispositivos, você pode instalar um agente syslog, como um agente FortiSIEM Windows, para executar essa fun

NÃO REIMPRIMA ©
FORTINET
Um cluster FortiSIEM consiste em um supervisor e um ou mais funcionários que compartilham a mesma montagem NFS
ou Elasticsearch para armazenamento de dados.
Existem cinco tarefas primárias de análise de

dados: • Indexar os dados e armazená-los em um banco de dados
de eventos • Pesquisar os dados • Correlacionar os dados em um
modo de fluxo para acionar regras (anomalias comportamentais) • Criar um banco de dados de
localização e identidade do usuário para adicionar contexto a dados • Criação de linhas de base
para detecção de anomalias
Para escalabilidade, cada uma dessas tarefas é dividida em um componente de trabalho pesado executado pelos nós de
trabalho e um componente mestre leve executado pelo nó supervisor. O nó supervisor também funciona como a GUI usando
um modelo autônomo de três camadas - GUI, servidor de aplicativos contendo a lógica de negócios e um banco de dados
relacional para manter o estado do aplicativo FortiSIEM.

NÃO REIMPRIMA ©
FORTINET
Você pode configurar trabalhadores para lidar apenas com solicitações de consulta. Agora existem dois tipos de nós de trabalho:
• Query Worker - esses trabalhadores lidam apenas com solicitações de consulta, consultas ad hoc da GUI e agendadas
relatórios.
• Event Worker - esses trabalhadores lidam com todos os outros trabalhos de processamento de eventos, incluindo o recebimento de eventos de
coletores ou dispositivos e armazená-los no banco de dados de eventos, regra, consulta em linha, consulta em tempo real e assim
sobre.
A reserva de nós de trabalho para consultas permite que mais recursos do sistema sejam dedicados às consultas e as torne mais rápidas.
Para obter mais informações sobre como configurar um event worker ou um query worker, consulte o FortiSIEM User Guide .

NÃO REIMPRIMA ©
FORTINET
Você pode usar coletores nas edições Enterprise e Service Provider.
Os servidores coletores monitoram e também coletam logs de dispositivos remotos antes de enviar os dados de volta para a
instalação central.
Em operação normal, o coletor não armazena dados.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM usa quatro bancos de dados diferentes dentro do produto:
• CMDB •
SVN-lite •
Perfil •
EventDB
Todos esses bancos de dados estão associados a um nó supervisor.

NÃO REIMPRIMA ©
FORTINET
O CMDB reside no nó supervisor.
O CMDB usa um banco de dados postgres para armazenar itens de configuração do FortiSIEM, como informações do
dispositivo, credenciais, informações de descoberta, regras, relatórios e assim por diante.
Por padrão, o CMDB também reside nos nós de trabalho, mas não é usado.

NÃO REIMPRIMA ©
FORTINET
Uma versão leve do subversion (banco de dados SVN-lite) reside no nó supervisor.
O banco de dados SVN-lite é usado para armazenar configurações atuais e históricas de dispositivos baseados em CLI
para itens suportados, como firewall, roteador, configurações de inicialização e execução de switch e software instalado em servid
Por padrão, o banco de dados SVN-lite também reside em nós de trabalho, mas não é usado.

NÃO REIMPRIMA ©
FORTINET
O banco de dados de criação de perfil não está em seu próprio disco. Em vez disso, ele é instalado no disco do sistema operacional, geralmente no
disco um do nó supervisor.
Um pequeno banco de dados SQLite é usado como um banco de dados de perfil.
O banco de dados de perfis é usado para armazenar dados de linha de base de anomalias calculados para muitos parâmetros, como perfis de uso
de recursos de tráfego e dispositivos, médias de execução e valores de desvio padrão.

NÃO REIMPRIMA ©
FORTINET
O banco de dados de eventos é instalado em um disco local anexado ao nó supervisor ou armazenamento remoto, como
montagem NFS ou Elasticsearch acessível a partir de supervisores e todos os equipamentos de trabalho. Ele é referido
como o disco / data.
O banco de dados de eventos é um banco de dados de tipo de arquivo simples sem SQL proprietário. Ele é usado para
armazenar logs brutos e metadados analisados. O cliente define o tamanho do banco de dados de eventos. O tamanho
depende do uso e do tempo necessário para retenção de dados para pesquisas e análises online.
Observe que o Elasticsearch não é um banco de dados proprietário. Para obter mais informações, consulte o
FortiSIEM - Elasticsearch Storage Guide.

NÃO REIMPRIMA ©
FORTINET
Para armazenamento escalonável do banco de dados de eventos, o FortiSIEM oferece três opções:
• Disco local •
Banco de dados de eventos FortiSIEM NoSQL com dados residentes em um servidor NFS •
Banco de dados distribuído Elasticsearch
As soluções de dispositivo de hardware e máquina virtual tudo-em-um usam a opção de disco local, enquanto um cluster FortiSIEM de
supervisores e funcionários pode explorar a opção Sem SQL.
A opção de banco de dados de eventos NoSQL é uma solução proprietária FortiSIEM desenvolvida especificamente. Os nós supervisor
e trabalhador criam e mantêm os índices do banco de dados.
Para dimensionar a inserção de eventos e o desempenho da pesquisa neste modo, é

necessário: • Uma rede de comunicação rápida entre o supervisor e os nós de trabalho e o servidor NFS • Altas operações de
entrada/saída NFS por segundo (IOPS) que podem ser obtidas usando disco RAID rápido ou em camadas
SSD e discos magnéticos

NÃO REIMPRIMA ©
FORTINET
Agora você dará uma olhada de alto nível em algumas arquiteturas FortiSIEM, começando com a implementação básica.
A implementação básica do FortiSIEM consiste em um único dispositivo FortiSIEM - o supervisor - que faz toda a coleta de
log, correlação dos eventos e monitoramento, processamento, análise e relatório dos dados.
O supervisor contém um banco de dados de eventos projetado especificamente como um banco de dados NoSQL de
alto desempenho. Sua finalidade é ingerir grandes fluxos contínuos de dados enquanto gera relatórios dos dados ao mesmo
tempo. Um banco de dados SQL não pode fornecer essas duas coisas simultaneamente.
O supervisor também contém um CMDB, bem como um banco de dados de versão (SVN-lite), o mesmo tipo de banco de
dados que os codificadores usam quando verificam seu código no final do dia de programação. O FortiSIEM usa o banco de
dados de versão para rastrear alterações nos dispositivos.
A arquitetura básica é a opção de implantação mais simples para o FortiSIEM. É suficiente para empresas de pequeno a
médio porte, mas não é adequado para empresas maiores.

NÃO REIMPRIMA ©
FORTINET
A arquitetura básica consiste em um único supervisor tudo-em-um, o que é suficiente para uma pequena rede local.
No entanto, se você tiver redes remotas ou uma rede segmentada, como coletar esses eventos? Para responder a isso, dê
uma olhada na arquitetura simples.
Para implantações maiores ou implantações com redes segmentadas, você pode escalar FortiSIEM adicionando VMs
chamadas coletores. Os coletores têm um requisito de hardware menor (CPU e memória) do que os supervisores ou
trabalhadores. Os coletores reúnem eventos da rede remota ou segmentada, incluindo feeds syslog e netflow, e executam
métodos push e poll para coletar informações, como SNMP ou polling WMI.
Os coletores também realizam descobertas dos próprios ambientes remotos.
Depois de coletar os dados, o coletor analisa e normaliza os dados localmente. Você aprenderá sobre análise e normalização
posteriormente neste curso. Em seguida, o coletor compacta os dados e os encaminha por um canal criptografado (HTTPS)
para o supervisor. Este processo permite que você coloque um coletor em um escritório remoto e, em seguida, envie os
dados pela internet para o supervisor no escritório principal sem a necessidade de uma linha dedicada.
Outro benefício do uso de coletores é a escalabilidade, porque o processo de descoberta e a análise de eventos são
descarregados do supervisor para os coletores. Adicionar coletores a um único supervisor é referido como escala horizontal.
Observe que, ao aumentar verticalmente, dependendo do número de eventos por segundo e de quanto tempo você precisa
para manter os eventos no banco de dados de eventos, você pode atingir o limite de tamanho de 2 GB de um disco virtual.
Se você atingir esse limite, deverá usar um sistema NFS.

NÃO REIMPRIMA ©
FORTINET
Como você pode ver na arquitetura em escala mostrada neste slide, o FortiSIEM também permite escalar verticalmente
fazendo cópias do supervisor. As cópias do supervisor tornam-se um cluster e agem como uma unidade.
No modelo escalado, o banco de dados de eventos que anteriormente poderia ser um disco virtual na máquina virtual, deve
usar o armazenamento NFS porque todas as máquinas precisam compartilhar o banco de dados. Todos os dispositivos
executam uma versão reforçada do CentOS, portanto, o armazenamento NFS é uma maneira natural de compartilhar dados.
O trabalhador é uma versão reduzida do supervisor. É a mesma imagem do dispositivo virtual; entretanto, durante a
instalação, se já existir um supervisor, o supervisor se provisiona como trabalhador.
Adicionar nós de trabalho aumenta o desempenho; ou seja, a velocidade com que uma pesquisa analítica retorna um relatório.
O desempenho aumenta porque o FortiSIEM distribui a pesquisa entre o supervisor e todos os trabalhadores.
Quando um coletor carrega os eventos para um trabalhador, não importa do ponto de vista da arquitetura FortiSIEM,
qual dos trabalhadores recebe os eventos. A correlação de regras ocorre em todo o cluster.

NÃO REIMPRIMA ©
FORTINET
Os provedores de serviços podem usar o FortiSIEM em uma implantação multilocatária. A arquitetura é essencialmente a mesma da
arquitetura em escala, mas os coletores são implantados em diferentes sites de clientes. A multilocação permite que você crie vários
ambientes de gerenciamento distintos usando uma única instalação do FortiSIEM.
Todos os dados coletados por todos os coletores são armazenados em um banco de dados central, mas todos segmentados. O banco
de dados isola as configurações, políticas e eventos para cada inquilino. É totalmente seguro e atende aos requisitos de auditoria e
conformidade. Você pode conceder aos inquilinos acesso à GUI do FortiSIEM para gerenciar seus próprios ativos, como usuários,
dispositivos, relatórios e regras, independentemente de outros inquilinos. Nenhum evento ou dispositivo do inquilino é visível para
qualquer outro inquilino. Cada inquilino é independente e isolado de todos os outros inquilinos.
Assim, como você pode ver, uma arquitetura FortiSIEM de trabalhadores, coletores e supervisores oferece muitas opções de implantação
para empresas em qualquer escala, bem como opções de implantação para provedores de serviços gerenciados que precisam de soluções
multilocatário.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM fornece a opção de banco de dados Elasticsearch para armazenar eventos.
O Elasticsearch fornece uma opção de banco de dados colunar redundante e distribuído para desempenho de banco de
dados em expansão às custas de maiores necessidades de armazenamento. Nesta opção, os nós de trabalho FortiSIEM enviam
os dados em tempo real para o cluster Elasticsearch, que mantém o banco de dados de eventos. O FortiSIEM desenvolveu uma
camada de adaptação intermediária, para que a mesma GUI possa ser executada perfeitamente no Elasticsearch e no banco de
dados de eventos FortiSIEM NoSQL.
O Elasticsearch é um banco de dados distribuído que fornece velocidade de inserção de eventos linearmente escalável
e melhoria no tempo de resposta da consulta.

NÃO REIMPRIMA ©
FORTINET
Este slide mostra uma arquitetura completa de implantação de cluster com Elasticsearch.
Elasticsearch é um banco de dados distribuído. Você pode implantá-lo como um nó tudo-em-um, mas mais comumente
você o implanta em uma configuração de cluster que consiste em um nó principal, nó de coordenação e nós de dados.
O FortiSIEM pode funcionar com as duas configurações do

Elasticsearch: • Nó tudo-em-um • Cluster Em uma arquitetura de
implementação de cluster completo, os nós supervisor e
trabalhador executam as operações em tempo real (coleção, regras e relatórios em linha) enquanto os dados são
indexados e armazenados no Elasticsearch. As consultas de pesquisa históricas são enviadas do nó supervisor para o
nó coordenador, que se comunica com os nós de dados para produzir os resultados da pesquisa.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM possui uma arquitetura altamente escalável.
Os coletores geralmente são implantados perto das fontes de log e, em seguida, encaminham os logs para os trabalhadores.
O número de trabalhadores necessários é proporcional à taxa de eventos por segundo (EPS) da rede.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM é o único fornecedor que possui um mecanismo de correlação de eventos distribuído em tempo real. Isso significa que,
à medida que os eventos chegam, o trabalhador que recebeu o evento o executa por meio de seu mecanismo de correlação. No
entanto, um trabalhador individual pode não ter todas as informações para acionar uma regra, especialmente se a regra for complexa. Em
vez disso, o trabalhador procura correspondências de regras parciais. Quando o trabalhador encontra uma correspondência parcial, ele
envia as informações ao supervisor. O supervisor então combina as correspondências parciais de todos os trabalhadores e, por fim, gera
um incidente. Esse processo ocorre na memória, em modo streaming, sem nunca tocar em um disco, o que aumenta muito a velocidade e
a eficiência.

NÃO REIMPRIMA ©
FORTINET
O FortiGuard Labs existe há mais de 16 anos e é a principal força que impulsiona a inteligência de ameaças da Fortinet. O
FortiGuard Labs coleta informações sobre ameaças de várias maneiras, incluindo: • Aprendizado de máquina: usa técnicas
de aprendizado de máquina para capturar IOCs, como endereços IP inválidos,
domínios e URLs.
• Sensores globais: Existem três milhões de sensores implantados em todo o mundo, consistindo em dispositivos de clientes
e honeypots. Esses sensores fornecem um alerta antecipado sobre o que está acontecendo no espaço cibernético
globalmente. • Rastreadores da Web: rastreadores da Web proprietários com o uso de inteligência artificial rastrearão a Internet procurand
para sites maliciosos.
• Troca de ameaças: Existem mais de 200 acordos de compartilhamento de ameaças com governos, certificação
autoridades e fornecedores estratégicos em todo o mundo.
• Sites/fóruns de hackers: vasculha o submundo para descobrir novos eventos de
ameaças. • Envios da comunidade: Envio de novas ameaças pelo cliente para análise manual ou por meio da tecnologia de
sandbox em nuvem da Fortinet. A Fortinet também executa aproximadamente 500.000 amostras de malware diariamente
para extrair IOCs.
• Análise humana: FortiGuard Labs gosta de confiar na automação tanto quanto possível; no entanto, você também precisa de
uma análise humana especializada. Mais de 200 analistas estão tentando resolver vários problemas de ameaças em todo o
mundo.
• Serviço FortiSIEM IOC: um conjunto de indicadores que o FortiGuard Labs empacota diariamente e entrega através da
rede FDN para a tecnologia FortiSIEM. As regras do FortiSIEM são configuradas para alertar e sinalizar nos indicadores
das listas de observação que aparecem nos logs que seus dispositivos produzem. Um alerta geralmente significa que um
dispositivo em sua rede contém uma ameaça e deve ser investigado.
• Pacote FortiSIEM IOC: A cada dia, o pacote existente é removido do FortiSIEM e um novo, contendo uma lista
atualizada de indicadores (domínios inválidos, endereços IP e URLs), é adicionado.

NÃO REIMPRIMA ©
FORTINET
O FortiGuard IOC fornece verificações de reputação para diferentes malwares, como IP, domínio, URL e hash. As verificações de
reputação podem ser invocadas de duas maneiras: • Quando um incidente é acionado, os usuários podem fazer uma pesquisa
manualmente por meio do FortiGuard IOC, total de vírus ou RiskIQ.
Qualquer site externo também pode ser pesquisado, mas os resultados do FortiGuard IOC, VirusTotal ou RiskIQ são
analisados e o usuário recebe um veredicto simplificado (seguro, incerto ou malicioso com base nos limites). • Os usuários
podem automatizar as verificações de reputação incluindo-as em suas políticas de notificação de incidentes. Quando incluída, a
verificação de reputação será feita automaticamente quando um incidente for acionado. Os comentários do incidente são
atualizados com os resultados.
Todo FortiSIEM licenciado pode fazer a pesquisa FortiGuard IOC. Nenhuma configuração especial é necessária.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA ©
FORTINET
Bom trabalho! Agora você entende a arquitetura FortiSIEM.
Agora, você aprenderá sobre as configurações iniciais do FortiSIEM.

NÃO REIMPRIMA ©
FORTINET
Depois de concluir esta seção, você poderá atingir os objetivos mostrados neste slide.
Ao demonstrar competência, compreensão e realização de configurações iniciais, você estará preparado para instalar e configurar um
FortiSIEM em sua rede.

NÃO REIMPRIMA ©
FORTINET
Depois de instalar o FortiSIEM, você deve definir algumas configurações do sistema. A lista de configurações do sistema discutida nesta
lição não está completa. Você pode definir essas configurações do sistema a qualquer momento.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM pode enviar notificações por e-mail quando executa um relatório agendado ou atende a um conjunto predefinido de
condições. O FortiSIEM também pode automatizar o envio de tickets para um sistema de reparação, quando ocorre um incidente.
Antes de poder configurar notificações, você deve configurar o gateway de e-mail que seu sistema usa para todas as
notificações.
Para configurar um gateway de e-mail para notificações

1. Efetue login no nó supervisor.
2. Clique em ADMIN > Configurações.
3. Clique na guia Sistema.
4. No campo Servidor de gateway de e-mail, seção, insira o nome do servidor de gateway de e-mail.
5. Insira qualquer conta adicional ou informações de conexão.
6. Clique em Salvar.
Depois de definir as configurações do gateway de e-mail, você pode configurar os outros itens que usam o gateway de e-mail.

NÃO REIMPRIMA ©
FORTINET
Depois de definir as configurações do gateway de e-mail, você pode configurar o roteamento de alerta de e-mail para relatórios agendados.
Você pode configurar o FortiSIEM para enviar uma notificação de e-mail padrão para pessoas específicas quando executar
relatórios agendados.
Para configurar o roteamento de alertas de e-mail para relatórios

agendados 1. Na guia ADMIN, clique em Configurações.
2. Clique na guia Análise.
3. Preencha os campos de acordo com suas necessidades.
4. Clique em Salvar.
Na guia Analytics, você também pode configurar o seguinte: • Traps

SNMP para notificações de incidentes: defina traps SNMP que são notificados quando um evento aciona um
incidente.
• Roteamento de mensagens XML para notificações de incidentes: Configure o FortiSIEM para enviar uma mensagem XML usando
HTTPS quando um incidente for acionado por uma regra. • Roteamento para tíquetes de reparação: configure o roteamento de
reparação para aceitar notificações do FortiSIEM e gerar tíquetes a partir dessas notificações, conforme descrito no Guia do usuário
do FortiSIEM. Estas instruções explicam como configurar o roteamento para seu servidor de remédios.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM fornece um recurso abrangente de gerenciamento baseado em função. Esse recurso permite controlar quais
dados um usuário pode acessar na GUI e quais opções nas guias da GUI um usuário pode visualizar.
ÿ E se você quiser dar a um auditor acesso aos logs de um determinado servidor? ÿ E

se um usuário precisar acessar apenas partes específicas da GUI, como relatórios?
O gerenciamento baseado em função

permite: • Dar a um auditor acesso aos logs de um servidor específico ou grupo de servidores em seu sistema
FortiSIEM • Dar a um usuário acesso apenas a partes específicas da GUI • Remover a guia ADMIN de usuários
específicos para evitá-los de fazer alterações na guia • Tornar a GUI somente leitura para outros tipos de
usuários
Por padrão, o FortiSIEM vem com 12 funções. Você também pode criar quantas funções personalizadas precisar. Para
criar uma nova função, clique em Novo e selecione os direitos e condições de acesso para a função. Como alternativa,
você pode editar uma função existente.
Se você precisar de várias funções com direitos e condições semelhantes, crie a primeira função, clone-a e edite a
função clonada. Dessa forma, você não precisará começar do zero para criar cada função sucessiva.

NÃO REIMPRIMA ©
FORTINET
Você pode restringir as funções do FortiSIEM com base em quatro

critérios: • Condições dos dados • Condições do relatório CMDB •
Ofuscação de dados GDPR • Restrições de acesso à GUI

NÃO REIMPRIMA ©
FORTINET
Você pode usar condições de dados e relatórios do CMDB para permitir que uma função recupere apenas dados
específicos do banco de dados e os exiba ao usuário.
Por exemplo, você pode permitir que os usuários com esta função vejam dados apenas de um determinado dispositivo, de uma
categoria de dispositivos ou de dispositivos em um determinado segmento de rede.
As condições de dados se aplicam a pesquisas históricas e em tempo real, bem como a resultados de relatórios e painéis.
Você pode basear as condições na seleção de IP ou dispositivo do CMDB.
Portanto, se dois usuários diferentes, cada um com uma função diferente, executassem o mesmo relatório, cada um veria
diferentes conjuntos de incidentes do outro usuário.

NÃO REIMPRIMA ©
FORTINET
A opção de acesso à GUI permite: •

Ocultar certas partes da GUI de usuários que têm uma função específica
• Especificar quais recursos da GUI estão disponíveis para um usuário específico e quais são ocultos, visíveis ou somente leitura
Por exemplo, você pode definir a guia Dashboard, a guia Analytics, a guia Incident ou a guia Admin como somente
leitura para um usuário ou totalmente oculta para um usuário.
Você pode configurar o acesso no nível de dispositivos individuais no CMDB. Por exemplo, você pode especificar que
um administrador de servidor pode ver apenas servidores no CMDB. Esse usuário não conseguiria ver nenhum
dispositivo de rede, como firewalls ou switches.
Além disso, se você descobriu configurações em seus dispositivos de rede, pode configurar uma função que permitiria
que apenas os administradores de rede vissem essas configurações de dispositivo, ocultando-as de todos os outros usuários.

NÃO REIMPRIMA ©
FORTINET
Você deve atribuir uma função a qualquer usuário definido como administrador do sistema. Você pode aplicar apenas uma função a
cada usuário.

NÃO REIMPRIMA ©
FORTINET
Um usuário pode usar dois tipos diferentes de contas para autenticar na GUI do FortiSIEM: uma conta de usuário local
ou uma conta de usuário externo.
Você pode criar uma conta de usuário local usando a GUI do FortiSIEM. Nesse caso, as credenciais de login do
usuário, incluindo a senha, são armazenadas no banco de dados CMDB local.
No caso de contas de usuários externos, as credenciais de login do usuário vêm de uma fonte externa. A origem pode
ser um servidor LDAP (como o Active Directory) ou um servidor RADIUS.
O FortiSIEM também oferece suporte a logon único Okta e duo para autenticação de dois fatores.

NÃO REIMPRIMA ©
FORTINET
Para exibir os usuários conhecidos do FortiSIEM (local ou externo), selecione a guia CMDB e, no painel esquerdo, selecione Usuários.
Na tela Usuários, você pode: • Exibir

todos os usuários definidos localmente e quaisquer usuários que você importou de uma fonte externa, como um LDAP
servidor
• Adicione, exclua ou edite usuários locais ou edite usuários LDAP •
Especifique quais usuários são administradores do FortiSIEM, defina seus requisitos de autenticação e atribua
funções RBAC para eles

NÃO REIMPRIMA ©
FORTINET
Definir um usuário como administrador do sistema permite que o usuário faça login na GUI do FortiSIEM.
Quando você define um usuário como administrador do sistema selecionando a opção System Admin, a caixa de diálogo
de opções do modo de autenticação é aberta.
Para usuários locais, você deve inserir e confirmar uma senha, bem como atribuir uma função ao usuário.
Para usuários externos, na lista suspensa Perfis de autenticação, selecione o dispositivo externo no qual o perfil do usuário
está armazenado. Além disso, você deve atribuir uma função ao usuário externo.

NÃO REIMPRIMA ©
FORTINET
No CMDB, você pode editar as informações para usuários internos e externos para adicionar informações de contato, como número de
telefone, endereço, país ou endereço de e-mail.
É importante observar que você pode se referir a um usuário nas políticas de notificação de incidentes apenas se adicionar o endereço de
e-mail do usuário ao CMDB.

NÃO REIMPRIMA ©
FORTINET
Você pode alterar a senha em dois locais na GUI.
Na guia CMDB, clique em Usuários e edite as propriedades do usuário administrador. Você também pode alterar
a senha de um usuário definido localmente nesta tela.
Como alternativa, qualquer usuário local definido conectado ao FortiSIEM GUl pode clicar no ícone do usuário
no canto superior direito da GUI e, em seguida, na janela Editar perfil do usuário, alterar a senha.

NÃO REIMPRIMA ©
FORTINET
O FortiSIEM não tem controle sobre as regras de senha aplicadas a contas de usuários externos porque essas
senhas são gerenciadas por outro dispositivo.
No entanto, o FortiSIEM aplica regras de senha a contas de usuário definidas localmente.
A senha deve conter de 8 a 64 caracteres e deve conter pelo menos uma letra maiúscula, pelo menos uma letra
minúscula, pelo menos um número e um caractere especial.

NÃO REIMPRIMA ©
FORTINET
Este slide mostra como alterar as senhas das contas root e admin usando a CLI. A melhor prática é alterar as credenciais padrão nas
instalações do supervisor, trabalhadores e coletores.

NÃO REIMPRIMA ©
FORTINET
O ícone Atividade do usuário está localizado no canto superior direito da GUI do FortiSIEM. Os administradores podem
clicar no ícone Atividade do usuário para abrir a janela pop-up Atividade do usuário atual e ver quem está conectado ao FortiSIEM.
A janela pop-up Current User Activity não mostra você como você mesmo, mas mostra qualquer outro usuário que esteja
conectado.
Na janela Current User Activity, você pode selecionar a guia Query Workload para identificar os usuários que estão
executando consultas longas.
Para ver os usuários que foram bloqueados no FortiSIEM, na janela Atividade do usuário atual, selecione a guia
Usuários bloqueados. O período de bloqueio padrão é de 10 minutos. Os administradores podem desbloquear usuários
definidos localmente na guia Usuários bloqueados.

NÃO REIMPRIMA ©
FORTINET

NÃO REIMPRIMA ©
FORTINET
Parabéns! Você concluiu esta lição.
Agora, você revisará os objetivos abordados na lição.

NÃO REIMPRIMA ©
FORTINET
Este slide mostra os objetivos abordados nesta lição.
Ao dominar os objetivos abordados nesta lição, você aprendeu como diferenciar o FortiSIEM de outros SIEMs, identificar os pontos
fortes do FortiSIEM, entender a arquitetura do FortiSIEM, instalar o FortiSIEM e executar a configuração inicial.

1 - Introdução - FORTISIEM

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

1 - Introdução - FORTISIEM

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google Introdução

Você também aprenderá sobre a arquitetura FortiSIEM e algumas configurações iniciais.

Guia de estudo do FortiSIEM 6.3 4

Nesta lição, você explorará os tópicos mostrados neste slide.

Guia de estudo do FortiSIEM 6.3 5

Guia de estudo do FortiSIEM 6.3 6

Guia de estudo do FortiSIEM 6.3 7

Guia de estudo do FortiSIEM 6.3 8

Guia de estudo do FortiSIEM 6.3 9

As características que tornam o FortiSIEM único são: •

Guia de estudo do FortiSIEM 6.3 10

As informações de descoberta são armazenadas no CMDB. Depois de inserir as credenciais do administrador do

Guia de estudo do FortiSIEM 6.3 11

Guia de estudo do FortiSIEM 6.3 12

Guia de estudo do FortiSIEM 6.3 13

Guia de estudo do FortiSIEM 6.3 14

Agora, você aprenderá sobre a arquitetura FortiSIEM.

Guia de estudo do FortiSIEM 6.3 15

Guia de estudo do FortiSIEM 6.3 16

Existem cinco tarefas primárias de análise de dados:

• Indexar os dados e armazená-los em um banco de dados de

Guia de estudo do FortiSIEM 6.3 17

Guia de estudo do FortiSIEM 6.3 18

Atualmente, três modelos estão disponíveis para dispositivos de hardware FortiSIEM: •

Guia de estudo do FortiSIEM 6.3 19

Guia de estudo do FortiSIEM 6.3 20

Existem três tipos de nós FortiSIEM: • Supervisor

Guia de estudo do FortiSIEM 6.3 21

Existem cinco tarefas primárias de análise de

Guia de estudo do FortiSIEM 6.3 22

Guia de estudo do FortiSIEM 6.3 23

Você pode usar coletores nas edições Enterprise e Service Provider.

Em operação normal, o coletor não armazena dados.

Guia de estudo do FortiSIEM 6.3 24

O FortiSIEM usa quatro bancos de dados diferentes dentro do produto:

Todos esses bancos de dados estão associados a um nó supervisor.

Guia de estudo do FortiSIEM 6.3 25

O CMDB reside no nó supervisor.

Guia de estudo do FortiSIEM 6.3 26

Uma versão leve do subversion (banco de dados SVN-lite) reside no nó supervisor.

Guia de estudo do FortiSIEM 6.3 27

Um pequeno banco de dados SQLite é usado como um banco de dados de perfil.

Guia de estudo do FortiSIEM 6.3 28

Guia de estudo do FortiSIEM 6.3 29

Para dimensionar a inserção de eventos e o desempenho da pesquisa neste modo, é

Guia de estudo do FortiSIEM 6.3 30

Guia de estudo do FortiSIEM 6.3 31

Guia de estudo do FortiSIEM 6.3 32

Guia de estudo do FortiSIEM 6.3 33

Guia de estudo do FortiSIEM 6.3 34

O FortiSIEM fornece a opção de banco de dados Elasticsearch para armazenar eventos.

Guia de estudo do FortiSIEM 6.3 35

O FortiSIEM pode funcionar com as duas configurações do

Guia de estudo do FortiSIEM 6.3 36

O FortiSIEM possui uma arquitetura altamente escalável.

Guia de estudo do FortiSIEM 6.3 37

Guia de estudo do FortiSIEM 6.3 38

Guia de estudo do FortiSIEM 6.3 39

Guia de estudo do FortiSIEM 6.3 40

Guia de estudo do FortiSIEM 6.3 41

Bom trabalho! Agora você entende a arquitetura FortiSIEM.

Agora, você aprenderá sobre as configurações iniciais do FortiSIEM.

Guia de estudo do FortiSIEM 6.3 42