FortiAnalyzer

Resumen de funcionalidades
ÍNDICE

INTRODUCCIÓN................................................................................................................3
CONCEPTOS FORTIANALYZER.....................................................................................4
Dominios Administrativos................................................................................................4
Modos de Operación.........................................................................................................4
Almacenamiento de logs..................................................................................................5
Flujos de trabajo...............................................................................................................5
ADMINISTRACIÓN...........................................................................................................5
Administración de Dispositivos y Dominios Administrativos.........................................6
Sincronización Horaria.....................................................................................................6
Usuarios de administración..............................................................................................7
Análisis de la información en tiempo real........................................................................8
Actualizaciones de firmware............................................................................................9
Copia de seguridad del sistema........................................................................................9
Gestión de eventos y alertas...........................................................................................10
EXPORTACIÓN E IMPORTACIÓN DE LOGS..............................................................11
VISUALIZACIÓN DE LOGS...........................................................................................11
LOGS DE FORTICLIENT.................................................................................................13
INFORMES........................................................................................................................14
DOCUMENTACIÓN.........................................................................................................17
FAMILIA DE PRODUCTOS............................................................................................17
INTRODUCCIÓN
Este documento tiene como objetivo mostrar las funcionalidades de FortiAnalyzer, la
solución para centralización de logs, análisis e informes de Fortinet.

La familia de productos FortiAnalyzer extiende las capacidades de visibilidad, gestión de

alarmas y eventos de las plataformas FortiGate, FortiCarrier, FortiAP, FortiWeb,
FortiMail, FortiCache, FortiSandbox, FortiManager, FortiDDOS y FortiClient, así como de
otros dispositivos de terceros compatibles con Syslog.

Un conjunto de informes fácilmente configurables, permite analizar, reportar y almacenar

eventos de seguridad, tráfico de red, contenido web y mensajes para medir el cumplimiento
de políticas de una organización.

A continuación se indican algunas de las funcionalidades de FortiAnalyzer:

 Más de 550 informes en distintos idiomas y gráficos configurables ayudan a

monitorizar y mantener identificados patrones de ataques, políticas de uso
aceptable y a demostrar el cumplimiento de políticas.
 Informes de capacidad y utilización de la red, que permiten gestionar las redes de
forma planificada y eficiente.
 Arquitectura escalable que permite al dispositivo funcionar en modo colector o
analizador, para optimizar el procesamiento de logs.
 Funcionalidades avanzadas, tales como la correlación de eventos, análisis forense y
vulnerabilidades de los activos, proporcionan herramientas esenciales para una
defensa en profundidad en redes complejas.
 Agregación segura de datos desde múltiples appliances de seguridad FortiGate y
FortiCarrier, que proporciona visibilidad completa de la red.
 Integración completa con FortiManager, como punto centralizado de comando,
control, análisis e informes.
 Segmentación de la información generada por los dispositivos en dominios
administrativos permitiendo modelos de delegación basados en roles o tipo MSSP.
 Ciclo completo de gestión de la información que abarca los procesos de
recolección, normalización, clasificación, correlación y explotación en modo de
alertas e informes.
 Hasta 24 TB de capacidad para almacenar logs, así como elegir entre diferentes
niveles de RAID (0, 1, 5, 6, 10, 50 y 60), discos en “spare”, e intercambio de discos
en caliente, permiten asegurar los datos para cumplir con las necesidades de la
organización.
 Soporte IPv6, tanto para la recepción de logs como para el acceso de
administración a la plataforma.
 Ejecución de diferentes utilidades de diagnóstico, tales como: ping, traceroute y
visor de logs.
 Posibilidad de despliegue de la plataforma en entornos virtuales.
 Servicios de integración web desde terceras aplicaciones con Web Services.
 Múltiples usuarios de administración con diferentes perfiles de gestión
administrativa basada en roles.
CONCEPTOS FORTIANALYZER
A continuación se definen los conceptos básicos de FortiAnalyzer, tales como:

 Dominios administrativos
 Modos de operación
 Almacenamiento de logs
 Flujos de trabajo

Dominios Administrativos

Los dominios administrativos (ADOM) permiten al administrador principal (admin)

restringir el acceso a otros usuarios de administración de FortiAnalyzer, a una lista
concreta de dispositivos. Incluso para dispositivos FortiGate con dominios virtuales
(VDOM), es posible restringir el acceso desde un ADOM de FortiAnalyzer, solo a los
datos de un VDOM específico.

Modos de Operación

FortiAnalyzer se puede configurar en 3 modos diferentes de operación:

 Analizador: El modo por defecto, que soporta todas las funcionalidades de

FortiAnalyzer
 Colector: El modo utilizado para almacenar y reenviar logs a otro dispositivo
FortiAnalyzer en modo Analizador. En lugar de escribir los logs en su base de
datos, el colector puede retener los logs en su formato original (binario) para su
envío. En este modo, la función de informes y otras utilidades, están deshabilitadas.
 Standalone: El modo por defecto, en el que el dispositivo realiza las funciones de
analizador y recolector.

El modo Colector se usa para incrementar las prestaciones de FortiAnalyzer en grandes

entornos. El colector proporciona un buffer para el analizador, ya que le descarga la tarea
de recepción de logs. Debido a que la tarea de recolección de logs de los dispositivos
conectados es llevada a cabo por el colector, los ratios y velocidad de recepción de logs por
segundo son superiores.

Almacenamiento de logs

FortiAnalyzer almacena los logs e informes en formato SQL. Los logs se insertan en la
base de datos SQL para la posterior generación de informes. Es posible configurar una
base de datos local SQL o establecer una conexión con una base de datos externa.
Flujos de trabajo

En el siguiente gráfico, se muestra el flujo de trabajo de FortiAnalyzer para el

almacenamiento de logs, análisis y creación de informes:

ADMINISTRACIÓN
La gestión de FortiAnalyzer se puede realizar a través de un interfaz gráfico basado en
Web (GUI) mediante el protocolo http, como https, que confiere mayor seguridad al existir
cifrado en las comunicaciones entre el cliente web y FortiAnalyzer. Los navegadores web
soportados son:

 Microsoft Internet Explorer versión 10 y 11

 Mozilla Firefox versión 33
 Google Chrome versión 38

Otros navegadores web podrán funcionar correctamente, pero no están soportados por
Fortinet.

La interfaz gráfica de FortiAnalyzer está disponibles en varios idiomas,

Además es posible configurar y gestionar FortiAnalyzer desde un interfaz de línea de

comandos (CLI), bien utilizando un cliente Telnet o SSH o a través de la consola Java
disponible desde el GUI.
Como medidas de seguridad adicionales es posible limitar las direcciones IP desde las que
se conectan los administradores para administrar el dispositivo, así como limitar el tiempo
de inactividad para cerrar la conexión.

Administración de Dispositivos y Dominios Administrativos

Desde la consola web de gestión se pueden añadir, editar o eliminar dispositivos o VDOM
de FotiGate que estén enviando logs a FortiAnalyzer. Para dispositivos en cluster, es
posible agrupar la recpeción de logs de los diferentes nodos de un mismo cluster en un
“array” Es posible visualizar en tiempo real los datos de los dispositivos gestionados.
También es posible crear, editar o eliminar dominios de administración (ADOM).

Al habilitar los ADOM, es posible añadir dentro de cada ADOM los dispositivos que se
deseen para ser gestionados por un mismo administrador, así como añadir VDOM de
dispositivos FortiGate, pudiendo incorporar en ADOM diferentes, distintos VDOM de un
mismo FortiGate, en caso necesario.

Para cada dispositivo se podrá establecer una cuota máxima de ocupación en disco, así
como indicar la acción a realizar en caso de llegar al límite de dicha cuota: parar la
escritura de logs o sobrescribir los logs más antiguos.

Además de los logs, FortiAnalyzer puede almacenar los datos recibidos desde FortiGate
relativos a archivado DLP, cuarentenas y captura de paquetes IPS. Es posible delimitar
para cada dispositivo si se concede permiso para almacenar estos datos adicionales a los
logs.

Desde la consola de FortiAnalyzer es posible agrupar dispositivos de modo que se faciliten

las labores administrativas a la hora de localizar los diferentes dispositivos.

Desde el dashboard principal de la consola web, es posible personalizar el contenido del

mismo con los diferentes “widget” predefinidos en FortiAnalyzer, tales como: Recursos
del sistema (CPU, memoria, uso de discos), Información del sistema, Operaciones de la
Unidad, Información de licencia, consola de mensajes de alerta, monitor RAID, consola
CLI, etc.

Sincronización Horaria

En una plataforma de consolidación de logs, es muy importante que se mantenga la

sincronización horaria, de modo que la fecha y hora de cada log producido por los
dispositivos monitorizados, coincida perfectamente con la de la plataforma.

FortiAnalyzer dispone de sincronización horaria mediante el protocolo NTP, siendo

posible establecer un servidor NTP externo, uno de los servidores NTP de Fortinet en
internet o bien utilizar un dispositivo FortiGate como servidor NTP.

Usuarios de administración
Desde la consola web de administración es posible monitorizar los diferentes usuarios de
administración que se encuentren conectados en cada momento a FortiAnalyzer, siendo
posible desconectar a dichos usuarios en caso necesario. Se muestra tanto la dirección IP
del usuario de administración, como el tipo de acceso (GUI, CLI, consola Java), como la
fecha y hora de la conexión.

FortiAnalyzer permite crear diferentes usuarios de administración y establecer a cada uno

de ellos los privilegios y ADOM a los que tiene acceso, así como las direcciones o redes IP
(tanto IPv4 como IPv6) desde las que cada usuario de administración podrá acceder a la
gestión del dispositivo.

Así mismo, la contraseña de los usuarios de administración se puede establecer localmente

en FortiAnalyzer o conectar a un repositorio externo mediante Radius, Ldap o TACACS+.

Como medida de seguridad adicional, se puede establecer una política de caducidad de

contraseñas y de robustez de las mismas (longitud mínima, inclusión de mayúsculas,
minúsculas, números y/o caracteres especiales)

Los privilegios de acceso de los administradores se definen a través de un perfil de

administración. Por defecto el sistema proporciona 3 perfiles de acceso con diferentes
niveles de acceso:

 Restricted_user: No dispone de privilegios de acceso al sistema y solo puede ver

todos los dispositivos asociados.
 Standard_user: No dispone de privilegios de acceso al sistema y puede ver y
modificar sobre todos los dispositivos asociados.
 Super_user: Dispone de privilegios completos al sistema y a los dispositivos.

Adicionalmente se pueden establecer perfiles de administración adicionales, en los que se

puede determinar si no se tiene acceso, si es de solo lectura, o de lectura y lectura/escritura
sobre la configuración global del sistema, ADOM, dispositivos, logs, informes e
información en tiempo real.

Análisis de la información en tiempo real

FortiAnalyzer a través de la funcionalidad incluida FortiView, proporciona acceso
completo a la información en dos modalidades claramente diferenciadas, análisis global del
entorno (FortiView) e inspección detallada de los logs (LogView) ambas en tiempo real.

Fortiview permite realizar un análisis en tiempo real e histórico del trafico generado en el
entorno. La información es presentada al usuario consolidada permitiendo centrar la
actividad en las tareas mas criticas. Algunas de las vistas disponibles son Top Amenazas,
Top Origenes, Top Aplicaciones... entre otras.

Logview permite determinar lo que está sucediendo en la red, así como informar de la
actividad de la red, como la detección de virus o errores en las conexiones VPN IPSec.
Logview es una herramienta critica a la hora de recuperar la información de la actividad en
un entorno.

El análisis de la información es granular, pudiéndose aplicar filtros a nivel global, de

dominio administrativo, de dispositivo o dominio virtual. De igual forma se pueden hacer
agrupaciones de los elementos previamente citados con el objetivo de mostrar la
información seleccionada en el gráfico o tabla que compone el perfil en función del
conjunto de dispositivos seleccionados.

Al mismo tiempo, se pueden definir diferentes vistas personalizadas para cada dispositivo
monitorizado, de modo que se muestre información especifica en cada situación y en
tiempo real.

Adicionalmente FortiAnalyzer puede enviar “traps” a una consola externa de

monitorización a través de SNMP v1/v2c

Actualizaciones de firmware

Al igual que ocurre en el resto de dispositivos Fortinet, la actualización de firmware se

realiza de forma muy sencilla. Únicamente es necesario descargar un fichero a través del
portal de soporte de Fortinet y desde la consola web se podrá realizar la actualización
indicando la ubicación del fichero que contiene el nuevo firmware. El proceso actualizará
de forma automática tanto el firmware, como la configuración y las estructuras de la base
de datos SQL en caso necesario.

Copia de seguridad del sistema

Fortinet recomienda realizar copias de seguridad periódicas de la configuración de

FortiAnalyzer, de modo que ante un posible fallo en el sistema, se pueda recuperar su
estado anterior en el menor tiempo posible y afectando mínimamente a la red. Igualmente
se recomienda realizar una copia de seguridad tras realizar cualquier cambio en la
configuración del sistema o antes de actualizar el firmware.

Las copias de seguridad de FortiAnalyzer se pueden realizar de forma manual o programar

una copia automática.

Es posible almacenar la copia de seguridad en formato cifrado, para lo que el sistema

pedirá una contraseña, que será necesario suministrar en caso de querer recuperar dicha
copia de seguridad en un futuro.

Gestión de eventos y alertas

Desde el gestor de eventos es posible configurar la forma en la que FortiAnalyzer actuará

en base a tipos de dispositivos, logs y filtros asociados a los mismos, de tal forma que
permite habilitar una cadena de escalado, mediante el envío de correos, traps SNMP o
syslog. Los tipos de dispositivos sooportados como origen de la informacion son FortiGate,
FortiCarrier, FortiCache, FortiMail, FortiManager, FortiWeb, FortiSandbox y syslog.
La gestion de eventos permite personalizar las acciones a tomar basadas en un dispositivo
concreto, múltiples dispositivos, tipos concretos de tráfico o tipología y/o criticidad de
eventos concretos.

De esta forma, mediante la gestión de eventos son desencadenadas las alertas que permiten
monitorizar y recibir notificaciones de una actividad específica en la red. Se pueden
configurar alertas por nivel de severidad estableciendo un límite por encima del cual se
enviará el evento de alerta a una dirección de correo electrónico, servidor SNMP o servidor
de Syslog. Así mismo se puede buscar un texto genérico en los logs de modo que el
sistema envíe una alerta cuando una nueva entrada en el log contenga la cadena de texto
especificada.

EXPORTACIÓN E IMPORTACIÓN DE LOGS

FortiAnalyzer permite la exportación manual o automática de logs a través de FTP, SFTP,
SCP o a otro sistema FortiAnalyzer. Siendo posible programar el envío a una hora concreta
cada día o en el momento de la rotación del fichero de logs. Así mismo se pueden enviar
los logs comprimidos en formato gzip.

Así mismo es posible realizar la importación de los logs.

VISUALIZACIÓN DE LOGS
Los logs y los informes pueden ayudar a determinar que ocurre en la red, así como
informar de ciertas actividades tales como la detección de un virus o errores en un túnel
IPSec.

FortiAnalyzer recolecta los logs de los dispositivos que gestiona y los muestra separados
en los de tráfico, eventos y seguridad UTM.

Los logs de tráfico almacenan el tráfico que está fluyendo a través de los dispositivos
monitorizados. Debido a que el tráfico necesita una regla de seguridad en el firewall para
pasar a través de este, este tipo de log se refiere también a los logs de las reglas de
seguridad. Las reglas de seguridad controlan todo el tráfico que intenta pasar a través de un
firewall, entre sus interfaces, zonas y subinterfaces VLAN.

El log de eventos almacena la gestión administrativa y la actividad de sistema del firewall,

como los cambios de configuración, acceso de un administrador o eventos que ocurren en
la actividad del cluster (HA). Es importante almacenar este tipo de logs puesto que
almacenan la actividad de sistema del firewall, que proporciona información muy valiosa
acerca del rendimiento del Firewall. Estos eventos incluyen: Sistema, Router, VPN y
usuarios.

Los logs de seguridad UTM, registran antivirus, filtrado web, control de aplicaciones,
detección de intrusión, filtrado de correo, prevención de fuga de información (DLP), y
actividad VoIP de los dispositivos gestionados.

Desde la consola web, se pueden visualizar los logs en tiempo real o logs históricos. Se
dispone de una herramienta de búsqueda y filtrado de logs para ayudar a la localización de
eventos concretos, así como la configuración de las columnas a visualizar. Siendo posible
además, descargar los logs que se estén visualizando en un momento determinado,
extrayendo los mismos en fichero de texto o separado por comas (.csv).

También es posible visualizar todos los detalles de un evento concreto:

Los eventos de logs están almacenados en diferentes ficheros, siendo posible acceder al
listado de dichos ficheros para eliminar, mostrar, importar o descargar los mismos de
forma individual:

LOGS DE FORTICLIENT
FortiClient es el software para puesto de trabajo que incopora antivirus, control de
aplicaciones, filtrado web, cliente de conexión VPN y escáner de vulnerabilidades para
entornos Windows, Mac, Android e IOS.
FortiAnalyzer puede recibir lod logs enviados por los clientes FortiClient a través del
puerto TCP 514. Al mismo tiempo es posible descargar los ficheros de log almacenados
desde los clientes FortiClient en FortiAnalyzer desde la consola web:

INFORMES
FortiAnalyzer puede analizar la información recogida desde los ficheros de log de los
dispositivos conectados. Entonces la presenta en informes tabulares o gráficos. Estos
informes proporcionan un análisis rápido y detallado de la actividad de la red.

Para reducir el número de informes necesarios, cada informe es independiente del

dispositivo y contiene la información en forma de plantilla. Los dispositivos, grupos y
otros información relacionada, pueden añadirse al informe como parámetros adicionales en
el momento de la generación del informe.

FortiAnalyzer incluye diferentes informes predefinidos, permitiendo además añadir

informes adicionales gracias a sus herramientas de elaboración de consultas a la base de
datos y composición de gráficos. Al mismo tiempo se puede programar la ejecución
automática de un informe, para recibirlo por correo electrónico en formato PDF.
Los informes pueden contener Títulos, Textos, imágenes, gráficos, etc. Se pueden crear
secciones en el informe para separar diferentes ámbitos del informe. En cada sección se
puede configurar el estilo del informe a una columna o dos columnas.

La edición del informe permite la utilización de “drag & drop” para recolocar las diferentes
partes del informe en caso necesario.

Cada vez que se ejecuta un informe, este queda almacenado en el disco de FortiAnalyzer,
por lo que es posible descargarlo posteriormente o eliminarlo en caso necesario:
La programación de informes se configura muy fácilmente gracias a la opción del
calendario de informes, que muestra en que momento se van a ejecutar cada uno de los
informes que se hayan programado anteriormente:

Si bien FortiAnalyzer proporciona diferentes gráficos y tablas predefinidas, la creación de

nuevas gráficas y tablas personalizadas se realiza de forma sencilla a través de la consola
web. Cada gráfica y tabla se apoya en una consulta a la base de datos SQL, dicha consulta
se realiza mediante la creación de un “dataset”.

FortiAnalyzer proporciona numerosos dataset de forma predeterminada, así como una

herramienta gráfica que simplifica la creación de nuevas consultas a la base de datos.
Dicha herramienta incorpora la posibilidad de realizar una prueba en el momento de
escribir los comandos de consulta SQL, de forma que inmediatamente se pueden obtener
los resultados de dicha consulta, para tener la certeza de que se han introducido de forma
correcta.
DOCUMENTACIÓN
La Guía de Administración de FortiAnalyzer y la Guía de referencia GUI, se encuentran
publicadas en el siguiente enlace: http://docs.fortinet.com/fortianalyzer/admin-guides

FAMILIA DE PRODUCTOS
FortiAnalyzer se encuentra disponible tanto en formato físico (appliance) como en formato
máquina virtual para VMWare ESX, HyperV, Citrix, Xen, KVM, AWS, etc.

En formato físico existen diferentes modelos que se diferencian por la capacidad en disco,
tamaño de logs por día, número de interfaces, etc. En la siguiente tabla comparativa, se
muestran todos los modelos y sus características técnicas:
En formato máquina virtual (VM) existe una licencia base con una capacidad de
almacenamiento máxima de 200 GB, la cual se puede ampliar con una o varias licencias
adicionales para aumentar el tamaño máximo de logs y el límite diario en GB.