Fortinet安全专家问答实录|关于SOC您可能感兴趣的六大问题
讲座问答环节,Fortinet D-Team资深网络安全工程师邹国雄就“FortiSIEM 和态势感知对比”、“FortiSIEM 集成能力”、“FortiSIEM 授权模式”、“FortiSIEM 部署模式”等相关问题进行了详尽解答,以下是问答精选实录: 问题一 FortiSIEM 和某些态势感知相比,有什么区别和优势? 目前有很多态势感知平台也很不错,界面做得非常好,各种功能也齐全。FortiSIEM 与之相比,我认为最大的区别和优势是在SIEM平台的通用性上做得非常好。这主要体现在功能和设备的添加扩充上非常方便;与第三方厂商的兼容能力非常强。 Fortinet 是一个全球化的网络安全公司,与业界很多知名厂商的设备都能实现深度集成,无论是Fortinet自有防火墙,还是其他厂商的防火墙,绝大部分都能够直接将日志接入,无需解析,内置的告警规则、报表都已经基本上全面覆盖,可以做到真正的“开箱即用”。 而且接入新的设备还可以定制一些解析内容,实现内部的归一化,让所有的解析最终都映射到内部的告警规则字段上,这意味着制定一条告警规则,可以适用于所有接入的安全设备,而不仅仅只是针对某一台安全设备。 问题二 出现威胁时,恶意文件的二次分析上传的是源文件还是特征码? 首先,文件的二次分析不是 SIEM 去做的事情,SIEM 不会上传文件,因为 SIEM 主要是做日志平台,它只会在日志里去提取信息,但是它也需要收集设备的一些性能信息,比如CPU、内存这些,当然这不是什么敏感信息。 文件的二次分析是 FortiSOAR 的任务,但这个分析是 SOAR 平台跟 Windows 服务器之间的交互,不经过 SIEM 。FortiSOAR 平台跟Windows 服务器的交互,整个是限定在内网之间的。 问题三 FortiSIEM 可以集成哪些第三方厂商的哪些设备? Fortinet已经与超过500+厂商设备进行了集成,可以说大家能够想到的国际上知名厂商设备基本上都可以支持。不管是网络设备、安全设备,还是服务器相关的一些设备,都可以对接。具体可以参考: https://docs.fortinet.com/document/fortisiem/7.0.2/external-systems-configuration-guide/780675/fortisiem-external-systems-configuration-guide-online 问题四 FortiAnalyzer 能做哪些安全工作? FortiAnalyzer也是一个日志分析平台,但实际上它核心的功能是报表,日志分析报表能力是它的重心,当然它也可以具备SOC 功能,它的 SOC 功能就是一个简化版的FortiSIEM,可以做日志解析、告警,还可以联动防火墙去执行 IP 的阻断等。它的优点是简单高效、低成本。如果企业运营需求较简单,内部有用Fortinet的设备,比如防火墙FortiGate等,希望能对这些设备日志进行统一接入,并进行联动联防,使用FortiAnalyzer是非常不错的选择。 如果是与第三方厂商的设备联动,尤其是一些三方设备日志接入等内容,FortiSIEM 是最佳之选;如果想做通用安全运营平台,又需要多种设备的接入、联动的话,选择FortiSIEM 和 FortiSOAR 组合最为合适。 问题五 FortiSIEM 功能需要额外授权吗? FortiSIEM 基本的功能都包含在基础费用中,有一些特殊的功能,比如说像 UEBA ,这种是需要额外的授权。当然,不仅仅是Fortinet采用这种授权模式,基本上行业内都是采用类似模式。 问题六 FortiSIEM部署方案必须基于 Fortinet 的硬件设备吗? 不必要。FortiSIEM设备接入可以支持三方设备,它是一个通用的 SIEM 平台。就SOC运营方案而言,不仅FortiSIEM,包括FortiSOAR等产品,都不是说必须基于Fortinet的硬件设备。其他厂商的设备只要通用性、兼容性够好,都是可以的。但考虑到方案通用性、灵活性、后期运营成本等,建议SIEM平台具备对接入设备日志理解能力、多维度的关联分析能力、三方设备的深度集成与广泛兼容、开箱即用的一些能力等。 资料来源于网络,详情请点击:EDR(https://www.fortinet.com/cn/products/endpoint-security/fortiedr)勒索病毒(https://www.fortinet.com/cn/resources/cyberglossary/how-to-prevent-ransomware)
页:
[1]