FortiAnalyzer

Resumen de funcionalidades

ÍNDICE

1. Introducción
2. Conceptos FortiAnalyzer
3. ADMINISTRACIÓN
4. Análisis de Logs
5. Fabric View
6. Gestión de Eventos y Alertas
7. Exportación e importación de logs
8. FortiSOC
9. Informes
10. Extensiones de Gestión
11. Documentación
12. Familia de productos

INTRODUCCIÓN

Este documento tiene como objetivo mostrar las funcionalidades de FortiAnalyzer, la solución para centralización de logs, análisis e informes de Fortinet.

La familia de productos FortiAnalyzer extiende las capacidades de visibilidad, gestión de alarmas y eventos de las plataformas FortiGate, FortiCarrier, FortiAP, FortiWeb, FortiMail, FortiCache, FortiSandbox, FortiManager, FortiDDOS y FortiClient, así como de otros dispositivos de terceros compatibles con Syslog.

Un conjunto de informes fácilmente configurables permite analizar, reportar y almacenar eventos de seguridad, tráfico de red, contenido web y mensajes para medir el cumplimiento de políticas de una organización.

A continuación, se indican algunas de las funcionalidades de FortiAnalyzer:

• Más de 550 informes en distintos idiomas y gráficos configurables ayudan a monitorizar y mantener identificados patrones de ataques, políticas de uso aceptable y a demostrar el cumplimiento de políticas.
• Informes de capacidad y utilización de la red, que permiten gestionar las redes de forma planificada y eficiente.
• Arquitectura escalable que permite al dispositivo funcionar en modo colector o analizador, para optimizar el procesamiento de logs.
• Funcionalidades avanzadas, tales como la correlación de eventos, análisis forense y vulnerabilidades de los activos, proporcionan herramientas esenciales para una defensa en profundidad en redes complejas.
• Agregación segura de datos desde múltiples appliances de seguridad FortiGate y FortiCarrier, que proporciona visibilidad completa de la red.
• Integración completa con FortiManager, como punto centralizado de comando, control, análisis e informes.
• Segmentación de la información generada por los dispositivos en dominios administrativos permitiendo modelos de delegación basados en roles o tipo MSSP.
• Ciclo completo de gestión de la información que abarca los procesos de recolección, normalización, clasificación, correlación y explotación en modo de alertas e informes.
• Hasta 24 TB de capacidad para almacenar logs, así como elegir entre diferentes niveles de RAID (0, 1, 5, 6, 10, 50 y 60), discos en “spare”, e intercambio de discos en caliente, permiten asegurar los datos para cumplir con las necesidades de la organización.
• Soporte IPv6, tanto para la recepción de logs como para el acceso de administración a la plataforma.
• Ejecución de diferentes utilidades de diagnóstico, tales como: ping, traceroute y visor de logs.
• Posibilidad de despliegue de la plataforma en entornos virtuales.
• Servicios de integración web desde terceras aplicaciones con Web Services.
• Múltiples usuarios de administración con diferentes perfiles de gestión administrativa basada en roles.

CONCEPTOS DE FORTIANALYZER

A continuación, se definen los conceptos básicos de FortiAnalyzer, tales como:

• Modos de operación
• Dominios administrativos
• Logs
• Almacenamiento de logs
• Panel de Fortiview

Modos de operación

FortiAnalyzer puede funcionar en 2 modos de operación, hay que elegir el modo en función de los requisitos y topología de red.

• Modo Analizador: El modo por defecto, que soporta todas las funcionalidades de FortiAnalyzer.
• Modo Colector: El modo utilizado para almacenar y reenviar logs a otro dispositivo FortiAnalyzer en modo Analizador. En lugar de escribir los logs en su base de datos, el colector puede retener los logs en su formato original (binario) para su envío. En este modo, la función de informes y otras utilidades están deshabilitadas.

Dominios Administrativos

Los dominios administrativos (ADOM) permiten al administrador principal (admin) restringir el acceso a otros usuarios de administración de FortiAnalyzer, a una lista concreta de dispositivos. Incluso para dispositivos FortiGate con dominios virtuales (VDOM), es posible restringir el acceso desde un ADOM de FortiAnalyzer, solo a los datos de un VDOM específico.

Logs

Los logs en FortiAnalyzer se encuentran en una de las siguientes fases.

• Registro en tiempo real: Las entradas de logs que acaban de llegar y no se han añadido a la base de datos SQL. Estos logs se almacenan en Archivo en un archivo sin comprimir hasta que el sistema tiene la oportunidad de insertarlos en la base de datos SQL.
• Archivo de logs: Cuando el archivo de logs en tiempo real en Archivo se ha insertado completamente, ese archivo se comprime y se considera fuera de línea.
• Registros analíticos o históricos: Indexados en la base de datos SQL y en línea.

Almacenamiento de logs

FortiAnalyzer almacena los logs e informes en formato SQL. Los logs se insertan en la base de datos SQL para la posterior generación de informes. Es posible configurar una base de datos local SQL o establecer una conexión con una base de datos externa.

Panel de Fortiview

Fortianalyzer dispone de paneles para administradores de SOC. FortiView incluye monitores que mejoran la visualización de actividad en tiempo real, así como las tendencias en el histórico para efectivizar la monitorización de la red y alertas de seguridad.

ADMINISTRACIÓN

El panel de Administrador de dispositivos permite agregar, configurar y administrar dispositivos y VDOM. Después de agregar y autorizar un dispositivo o VDOM, FortiAnalyzer comienza a recopilar registros de ese dispositivo o VDOM. Además, puedes configurar FortiAnalyzer para enviar registros a otro dispositivo.

El panel incluye un mapa interactivo que muestra las ubicaciones físicas de los dispositivos autorizados. Puedes habilitar y deshabilitar el mapa usando la opción “Mostrar Mapa” (Show Map) en la barra de herramientas. Puedes navegar por el mapa con el ratón y acercar o alejarlo. Cuando se amplía, solo los dispositivos que están actualmente visibles en el mapa se muestran en la lista de dispositivos.

ADOMs

Puede organizar los dispositivos conectados en ADOM’s para administrar mejor los dispositivos. Los ADOM’s pueden ser organizados por:

• Versión de firmware: agrupa todos los dispositivos 6.2 en un ADOM y todos los dispositivos 6.4 en otro.
• Regiones geográficas: agrupa todos los dispositivos de una región geográfica específica en un ADOM y los dispositivos de una región separada en otro.
• Usuarios administradores: agrupa los dispositivos en ADOM separados según los administradores específicos responsables del grupo de dispositivos.
• Clientes: agrupa todos los dispositivos de un cliente en un ADOM y los dispositivos de otro cliente en otro.
• Security Fabric: agrupa todos los dispositivos que se encuentran dentro del Security Fabric.

Los dispositivos FortiAnalyzer, FortiCache, FortiClient, FortiDDos, FortiMail, FortiManager, FortiSandbox, FortiWeb, Chassis y FortiCarrier se colocan automáticamente en sus propios ADOM’s.

Cada perfil de administrador se puede personalizar para proporcionar acceso de solo lectura, lectura/escritura o acceso restringido a varias configuraciones de ADOM.

Al crear nuevas cuentas de administrador, se puede restringir a qué ADOM puede acceder el administrador para mejorar el control de sus usuarios administradores.

FortiClient EMS (Dispositivos)

Podemos agregar servidores FortiClient EMS a FortiAnalyzer.

Los servidores FortiClient EMS autorizados se agregan al FortiClient ADOM predeterminado. Tienes que habilitar los ADOM’s para que funcionen con los servidores EMS de FortiClient en FortiAnalyzer. Cuando seleccionamos FortiClient ADOM y accedemos al panel de “Administrador de dispositivos”, se muestran los servidores FortiClient EMS.

Dispositivos no autorizados (Unauthorized Devices)

Cuando un dispositivo está configurado para enviar registros a FortiAnalyzer pero aún no ha sido autorizado, el dispositivo se muestra en el panel “Administrador de dispositivos” > “Dispositivos no autorizados”. A continuación, puedes autorizar, eliminar u ocultar los dispositivos mediante los botones de la barra de herramientas.

Podemos habilitar “Mostrar dispositivos ocultos” para ver los dispositivos que antes estaban ocultos.

Usar FortiManager para administrar dispositivos FortiAnalyzer

Puedes agregar dispositivos FortiAnalyzer a FortiManager y administrarlos. Cuando agregas un dispositivo FortiAnalyzer a FortiManager, FortiManager habilita automáticamente las funciones de FortiAnalyzer. Ambos deben ejecutar la misma versión de sistema operativo, al menos 5.6 o posterior.

El panel de “Administrador de dispositivos”, te informa de que FortiManager administra el dispositivo y que todos los cambios deben realizarse en FortiManager para evitar conflictos. En la parte superior derecha del panel se muestra un icono con un candado. Si los ADOMs están habilitados, en el panel “Configuración del sistema” > “Todos los ADOM” muestra un icono de candado junto al ADOM administrado por FortiManager.

Los registros se almacenan en el FortiAnalyzer, no en el FortiManager. Configura los ajustes de almacenamiento en el FortiAnalyzer; no puedes cambiar la configuración de almacenamiento de registros mediante FortiManager.

Sincronización Horaria

En una plataforma de consolidación de logs, es muy importante que se mantenga la sincronización horaria, de modo que la fecha y hora de cada log producido por los dispositivos monitorizados, coincida perfectamente con la de la plataforma.

FortiAnalyzer dispone de sincronización horaria mediante el protocolo NTP, siendo posible establecer un servidor NTP externo, uno de los servidores NTP de Fortinet en internet o bien utilizar un dispositivo FortiGate como servidor NTP.

Usuarios de administración

Desde la consola web de administración es posible monitorizar los diferentes usuarios de administración que se encuentren conectados en cada momento a FortiAnalyzer, siendo posible desconectar a dichos usuarios en caso necesario. Se muestra tanto la dirección IP del usuario de administración, como el tipo de acceso (GUI, CLI, consola Java), como la fecha y hora de la conexión.

FortiAnalyzer permite crear diferentes usuarios de administración y establecer a cada uno de ellos los privilegios y ADOM a los que tiene acceso, así como las direcciones o redes IP (tanto IPv4 como IPv6) desde las que cada usuario de administración podrá acceder a la gestión del dispositivo.

Así mismo, la contraseña de los usuarios de administración se puede establecer localmente en FortiAnalyzer o conectar a un repositorio externo mediante Radius, Ldap o TACACS+.

Como medida de seguridad adicional, se puede establecer una política de caducidad de contraseñas y de robustez de las mismas (longitud mínima, inclusión de mayúsculas, minúsculas, números y/o caracteres especiales)

Los privilegios de acceso de los administradores se definen a través de un perfil de administración. Por defecto el sistema proporciona 3 perfiles de acceso con diferentes niveles de acceso:

• Restricted_user: No dispone de privilegios de acceso al sistema y solo puede ver todos los dispositivos asociados.
• Standard_user: No dispone de privilegios de acceso al sistema y puede ver y modificar sobre todos los dispositivos asociados.
• Super_user: Dispone de privilegios completos al sistema y a los dispositivos.

Adicionalmente se pueden establecer perfiles de administración adicionales, en los que se puede determinar si no se tiene acceso, si es de solo lectura, o de lectura y lectura/escritura sobre la configuración global del sistema, ADOM, dispositivos, logs, informes e información en tiempo real.

Actualizaciones de firmware

Al igual que ocurre en el resto de los dispositivos Fortinet, la actualización de firmware se realiza de forma muy sencilla. Únicamente es necesario descargar un fichero a través del portal de soporte de Fortinet y desde la consola web se podrá realizar la actualización indicando la ubicación del fichero que contiene el nuevo firmware. El proceso actualizará de forma automática tanto el firmware, como la configuración y las estructuras de la base de datos SQL en caso necesario.

Copia de seguridad del sistema

Fortinet recomienda realizar copias de seguridad periódicas de la configuración de FortiAnalyzer, de modo que, ante un posible fallo en el sistema, se pueda recuperar su estado anterior en el menor tiempo posible y afectando mínimamente a la red. Igualmente se recomienda realizar una copia de seguridad tras realizar cualquier cambio en la configuración del sistema o antes de actualizar el firmware.

Las copias de seguridad de FortiAnalyzer se pueden realizar de forma manual o programar una copia automática.

Es posible almacenar la copia de seguridad en formato cifrado, para lo que el sistema pedirá una contraseña, que será necesario suministrar en caso de querer recuperar dicha copia de seguridad en un futuro.

ANÁLISIS DE LOGS

FortiAnalyzer a través de la funcionalidad de FortiView proporcionará acceso a la función del análisis global de su red (FortiView) y monitorización para los centros de operaciones (Monitors), ambas en tiempo real.

FortiView

FortiView es un sistema de monitorización para su red que integra un histórico y datos en tiempo real en una única vista. Puede registrar y monitorizar amenazas en redes, filtrar datos en múltiples niveles y realizar un seguimiento de la actividad administrativa entre otras funcionalidades.

Esta herramienta permite utilizar múltiples filtros como la posibilidad de seleccionar vistas en un determinado momento, filtrar por el ID de usuarios o filtrar por aplicaciones (u otras opciones), y ser presentadas en diferentes formatos como tablas o mapas (existen otros formatos alternativos disponibles en el menú de ajustes).

FortiView ofrece una visión consolidada de diferentes categorías como principales amenazas, principales fuentes y destinos de tráfico o principales aplicaciones para su red…entre otros.

Monitors

FortiView Monitors está diseñado para centros de operaciones de red y seguridad (NOC, SOC) donde los dashboards como la actividad y seguridad de la red, endpoints, Security Fabric, seguridad WiFi y el rendimiento del sistema del FAZ son mostrados en grandes pantallas.

Los dashboards de Monitors son muy flexibles y personalizables. Se pueden añadir, quitar, mover o redimensionar el tamaño de los widgets tanto en los perfiles predefinidos como en los personalizados.

Vista de Logs

Los logs pueden ayudar a determinar eventos que ocurren en la red, así como proporcionar información relevante de una gran variedad de actividades tales como la detección de amenazas o problemas relacionados con errores en VPNs.

Se puede ver la información de los logs por dispositivo o por grupo de logs. Si los ADOMs están habilitados, cada ADOM tiene su propia información mostrada en el apartado de Vista de Logs.

FortiAnalyzer es capaz de recolectar logs de aquellos dispositivos que gestiona y es capaz de mostrarlos en función del tipo de dispositivo. Según el dispositivo, éste tendrá disponibles diferentes categorías de logs como tráfico, seguridad (UTM), eventos, DNS, Aplicación o Fabric.

• Logs de Tráfico: Estos logs registran los flujos de tráfico que pasan a través de tu FortiGate. Dado que el tráfico necesita políticas para poder atravesar el FortiGate, este tipo de logging también se conoce como logging de políticas de firewall. Las políticas controlan cualquier flujo que intente pasar a través del equipo, tanto entre interfaces del FortiGate, como subinterfaces VLAN.
• Logs del ZTNA: FortiAnalyzer sincroniza los logs del ZTNA unificados con los del FortiGate.
• Logs de Seguridad: Los Logs de Seguridad registran eventos provenientes de perfiles como Antivirus, filtrado de archivos y web, Control de Aplicaciones, IPS, filtrado de email, DLP y actividad VoIP de los dispositivos gestionados.
• Logs de DNS: Los Logs de DNS registran la actividad DNS de los dispositivos gestionados.
• Logs de Eventos: Los Logs de Eventos registran la gestión de administración y la actividad de los sistemas de Fortinet como cuando cambia la configuración, un administrador hace login, o sucede un evento de HA. Estos eventos son importantes porque registran información de la actividad del sistema del dispositivo de Fortinet, proporcionando información relevante sobre el rendimiento del equipo. Los Logs de Eventos incluyen objetos del sistema, routers, VPNs, usuarios y WiFi.
• Logs de Aplicación: Los Logs de Aplicación registran la actividad de los PlayBooks y de los incidentes en FortiAnalyzer. Los registros se generan y almacenan por separado para cada ADOM (solo visibles en el FAZ local).
• Logs de Fabric (SIEM): Los Logs de Fabric son una funcionalidad bajo licencia que permite que las capacidades SIEM del FortiAnalyzer analicen, normalicen y correlacionen los registros de los productos de Fortinet, así como eventos de seguridad de hosts de Windows y Linux (con la integración del Agente Fabric).

Es posible también visualizar de una forma más detallada cada uno de los logs registrados:

Fabric View

El módulo Fabric View permite crear fabric connectors y ver la lista de endpoints. Los fabric connectors ofrecen integración y orquestación abierta y basada en API con múltiples plataformas de redes definidas por software (SDN), la nube, administración y tecnología de terceros. Esto permite la automatización de la seguridad y la administración simplificada.

Está disponible en los ADOMs de la versión 6.0 y posteriores.

Fabric Connectors

Se pueden crear los siguientes tipos de conectores:

– ITSM -> permite a su vez crear los siguientes conectores:

• ServiceNow
• Webhook (conector genérico)

– Storage -> permite crear los siguientes conectores:

• Amazon S3
• Azure Blob Container
• Google Cloud Storage

– Security Fabric -> permite crear los siguientes conectores:

• FortiClient EMS
• FortiMail
• FortiCASB

Subnets

Se pueden definir listas de subredes que se pueden añadir a grupos de subredes. Estas listas y grupos pueden utilizarse para crear listas de inclusión y exclusión en los event handlers y en los reports, así como para realizar filtrados en Log View.

Identity Center

El Identity Center realiza el mapeo de usuarios y endpoints. Ya que algunos usuarios pueden utilizar varios endpoints en la red, los endpoints pueden utilizar varias interfaces diferentes para conectarse, las interfaces de red pueden tener varias direcciones IP, etc. el Identity Center permite una visibilidad mejor en el análisis de los logs, eventos e incidentes, además de ayudar en la elaboración de informes.

De este modo, el panel enumera todos los endpoints y usuarios de los logs relevantes y los correla con los módulos de FortiAnalyzer.

Asset Center

Permite observar la información de los endpoints y de los usuarios para saber si cumplen con la normativa.

Permite:

• Respuesta frente a incidentes: compruebe los activos infectados o vulnerables como parte de su proceso de análisis SOC y respuesta a incidentes.
• Compliance: identificar usuarios y endpoints desconocidos y que no son compliant.

Como en el caso anterior, lista todos los endpoints y usuarios de los logs relevantes y los correla con los módulos de FortiAnalyzer.

Gestión de eventos y alertas

Desde el gestor de eventos es posible configurar la forma en la que FortiAnalyzer actuará en base a tipos de dispositivos, logs y filtros asociados a los mismos, de tal forma que permite habilitar una cadena de escalado, mediante el envío de correos, traps SNMP o syslog. Los tipos de dispositivos soportados como origen de la información son FortiGate, FortiCarrier, FortiCache, FortiMail, FortiManager, FortiWeb, FortiSandbox y syslog.

La gestión de eventos permite personalizar las acciones a tomar basadas en un dispositivo concreto, múltiples dispositivos, tipos concretos de tráfico o tipología y/o criticidad de eventos concretos.

De esta forma, mediante la gestión de eventos son desencadenadas las alertas que permiten monitorizar y recibir notificaciones de una actividad específica en la red. Se pueden configurar alertas por nivel de severidad estableciendo un límite por encima del cual se enviará el evento de alerta a una dirección de correo electrónico, servidor SNMP o servidor de Syslog. Así mismo se puede buscar un texto genérico en los logs de modo que el sistema envíe una alerta cuando una nueva entrada en el log contenga la cadena de texto especificada.

Exportación e importación de Logs

FortiAnalyzer permite la exportación manual o automática de logs a través de FTP, SFTP, SCP o a otro sistema FortiAnalyzer. Siendo posible programar el envío a una hora concreta cada día o en el momento de la rotación del fichero de logs. Así mismo se pueden enviar los logs comprimidos en formato gzip.

Así mismo es posible realizar la importación de los logs.

FortiSOC

FortiSoC es un servicio de suscripción que permite la automatización de playbooks para operaciones de seguridad en FortiAnalyzer.

Las capacidades SIEM de FortiAnalyzer analizan, normalizan y correlacionan los eventos de los dispositivos Fortinet y los eventos de seguridad de los endpoints Windows y Linux (con Fabric Agent).

El análisis está predefinido por FortiAnalyzer y no requiere configuración manual por parte de los administradores. Los registros SIEM se muestran como registros de Fabric en la vista de registros y pueden utilizarse para informes.

FortiSoC proporciona capacidades de gestión de incidentes con la automatización de playbooks para acelerar la respuesta. Esta funcionalidad requiere de licencia adicional. La automatización de tareas puede ser configurada por los analistas del SOC utilizando playbooks que consisten en un disparador y una secuencia de acciones automatizadas. Los playbooks se pueden crear desde cero o utilizando una de las plantillas predefinidas. Los conectores Fabric mejoran aún más la funcionalidad de FortiSoC al permitir que los playbooks realicen tareas utilizando dispositivos conectados, incluyendo FortiOS y FortiClient EMS.

FortiSoC incluye varios dashboards para ver información sobre playbooks, incidentes y eventos.

Threat Hunting

FortiSoC incluye el panel de Threat Hunting que ofrece un panel de análisis SOC utilizando la base de datos SIEM. Threat Hunting utiliza datos en caché para permitir a los analistas del SOC profundizar rápidamente en los registros en los campos de interés. Para ver el panel de caza de amenazas, vaya a FortiSoC > caza de amenazas. El panel de Threat Hunting incluye un gráfico de recuento de registros y una tabla de análisis de registros SIEM.

Conectores y Playbooks

El sistema incorpora un sistema de conectores que nos permiten tomar acciones sobre diferentes dispositivos Fortinet (FortiAnalyzer), FortiOS, FortiMail, FortiGuard y FortiClient EMS.

Mediante estos conectores podemos realizar diferentes playbooks o acciones automaticas en otros dispositivos. El sistema incorpora numeroros plabooks predefinidos.

También podemos crear nuestras playbooks personalizadas basándonos en un sistema de de inicio (trigger) y una o más tareas configuradas con acciones automatizadas.

Los triggers determinan cuándo debe ejecutarse un playbook. Son siempre el primer paso de un playbook, y cada playbook sólo puede incluir un activador.

Una tarea se ejecuta en cuanto se activa el playbook y se completan todas las tareas conectadas que lo preceden.

Outbreak Alerts

El Servicio de Outbreak Alerts de FortiAnalyzer (FOAS) es una funcionalidad con licencia que permite a los administradores de FortiAnalyzer ver las alertas de Outbreak y descargar automáticamente los Event Handlers e informes relacionados de FortiGuard.

Los Event Handlers y Outbreak Alerts son creados en tiempo real por Fortinet para detectar y responder a las amenazas emergentes. Los informes y los eventos handlers se descargan automáticamente para que estén disponibles en su entorno.

INFORMES

FortiAnalyzer puede analizar la información recogida desde los ficheros de log de los distintos dispositivos conectados. De esa manera, la puede procesar y presentar en informes de distintos tipos. Estos informes proporcionan un análisis rápido y detallado de la actividad de la red.

Para maximizar la granularidad y la utilización de la información, cada informe es independiente del dispositivo y contiene la información en forma de plantilla. Los dispositivos, grupos y cualquier otra información relacionada se pueden añadir al informe como parámetros adicionales en el momento de la generación del informe.

FortiAnalyzer incluye además múltiples y diferentes informes ya predefinidos, permitiendo además añadir información adicional gracias a sus herramientas de elaboración de consultas a la base de datos y composición de gráficos. También dispone, por defecto, de plantillas, gráficos y macros que se pueden utilizar o modificar a voluntad.

Si bien FortiAnalyzer proporciona diferentes gráficos y tablas predefinidas, se pueden crear nuevas gráficas y tablas personalizadas de forma sencilla a través de la consola web. Cada gráfica y tabla se apoya en una consulta a la base de datos SQL, que se llama “dataset”.

FortiAnalyzer proporciona numerosos dataset de forma predeterminada, así como una herramienta gráfica que simplifica la creación de nuevas consultas a la base de datos. Dicha herramienta incorpora la posibilidad de realizar una prueba en el momento de escribir los comandos de consulta SQL, de forma que inmediatamente se pueden obtener los resultados de dicha consulta, para tener la certeza de que se han introducido de forma correcta.

Cuando los dominios administrativos o ADOMs están activados, cada ADOM tiene sus propios informes, bibliotecas y configuraciones avanzadas. Algunos informes sólo están disponibles cuando los ADOMs están activados, como los de FortiCarrier, FortiCache, FortiClient, FortiDDoS, FortiMail, FortiSandbox y FortiWeb. En un ADOM de Security Fabric, se muestran todos los informes.

Los informes se pueden visionar en HTML, PDF, XML y CSV. Además de esto, se puede programar la ejecución automática de un informe, para recibirlo por correo electrónico en los mismos formatos. Junto con esto, también es posible enviar dichos informes a un servidor externo por FTP, SFTP o SCP.

Los informes pueden contener títulos, textos, imágenes, gráficos, etc. También es posible crear secciones en el informe para separar diferentes ámbitos del mismo.

La edición del informe permite la utilización de “drag & drop” para recolocar las diferentes partes del informe en caso necesario.

Cada vez que se ejecuta un informe, este queda almacenado en el disco de FortiAnalyzer, por lo que es posible descargarlo posteriormente o eliminarlo en caso necesario:

Además, se puede realizar una programación de informes de manera muy sencilla gracias a la opción del calendario de informes, que muestra en qué momento se van a ejecutar cada uno de los informes que se hayan programado anteriormente:

EXTENSIONES DE GESTIÓN

El panel de Extensiones de Gestión permite habilitar, para su uso en FortiAnalyzer, de aplicaciones licenciadas que son publicadas y firmadas por Fortinet. Dichas aplicaciones se instalan y ejecutan en FortiAnalyzer.

En realidad, una Management Extension Applications (MEA) es una instancia de ejecución completa de otro producto en forma de contenedor Docker, que permite utilizar y supervisar diferentes soluciones de Fortinet utilizando un único panel de gestión.

MEA FortiSIEM

Una de las MEAs que se pueden habilitar en FortiAnalyzer es FortiSIEM. FortiSIEM utiliza el Machine Learning para detectar comportamientos inusuales de usuarios (UEBA) sin necesidad de que el administrador tenga que configurar reglas complejas. Además, ayuda a identificar las amenazas entrantes e internas que pudieran sobrepasar las defensas tradicionales. Junto con esto, ayuda a priorizar qué amenazas necesitan atención inmediata a través de las alertas de alta fidelidad.

La MEA de FortiSIEM es una solución todo en uno, perfectamente integrada y orientada a los servicios, que proporciona un colector para recopilar logs y métricas de rendimiento de redes geográficamente dispares.

MEA FortiSOAR

La MEA de Fortinet Security Orchestration, Automation, and Response (FortiSOAR) se puede habilitar también en FortiAnalyzer, en este caso para gestionar todo el ciclo de vida de una amenaza o brecha en la red.

FortiSOAR es una plataforma que proporciona mecanismos personalizables de prevención, detección y respuesta que funcionan en todas las herramientas del entorno de red corporativo.

La MEA de FortiSOAR, instalada en FortiAnalyzer, permite gestionar las operaciones de seguridad utilizando FortiAnalyzer y sin necesidad de tener una instancia de FortiSOAR independiente.

DOCUMENTACIÓN

La Guía de Administración de FortiAnalyzer y la Guía de referencia GUI, se encuentran publicadas en el siguiente enlace: https://docs.fortinet.com/document/fortianalyzer/7.0.3/administration-guide

FAMILIA DE PRODUCTOS

FortiAnalyzer se encuentra disponible tanto en formato físico (appliance) como en formato máquina virtual para distintos Hipervisores o Cloud Públicas.

En formato físico existen diferentes modelos que se diferencian por la capacidad en disco, tamaño de logs por día, número de interfaces, etc. En la siguiente tabla comparativa, se muestran todos los modelos y sus características técnicas:

En formato máquina virtual (VM) existe una máquina “trial” con una capacidad de almacenamiento máxima de 1 GB/día y 500GB de almacenamiento que no dispone de soporte, la cual se puede ampliar con una o varias licencias adicionales para aumentar el tamaño máximo de logs y el límite diario en GB.