Sictel Soluciones TI, S.A de C.V.

Fecha de emisión: 30/11/2022 Código: FTN-NS3

Servicios Fortinet
Objetivo Tener un repositorio de los distintos servicios y tecnologías proporcionados por Fortinet
Alcance Este manual esta dirigido para toda el área de Preventa

Security-Driven Networking (Redes impulsadas por la seguridad)

La estrategia de redes impulsadas por la seguridad de Fortinet integra estrechamente la infraestructura de

red y la arquitectura de seguridad de una organización, lo que permite que la red se amplíe y cambie sin
comprometer la seguridad. Este enfoque de próxima generación es esencial para defender de manera efectiva
los entornos altamente dinámicos de la actualidad, no solo al proporcionar una aplicación constante en los
perímetros altamente flexibles de la actualidad, sino también al integrar la seguridad en la red misma.

Security-driven Network de Fortinet es la primera estrategia de seguridad diseñada para abarcar todo el ciclo
de vida de desarrollo e implementación de la red, asegurando que la seguridad funcione como la
consideración central para todas las decisiones de infraestructura impulsadas por el negocio. Con la seguridad
en el centro, las redes pueden evolucionar, expandirse y adaptarse sin preocuparse de que una superficie de
ataque ampliada o una brecha de seguridad puedan comprometer a la organización.

Las redes impulsadas por la seguridad abarcan cinco elementos críticos de la red:

Planeando y diseñando

Una estrategia de red impulsada por la seguridad comienza en las etapas de planificación, donde
todos están de acuerdo en que las nuevas infraestructuras, aplicaciones y dispositivos deben cumplir
y respaldar una estrategia de seguridad central construida en torno a un tejido de seguridad. ¿Quiere
una nueva infraestructura en la nube? No solo debe ser seguro, sino que debe construirse utilizando
una plataforma de seguridad integrada para garantizar que sea parte del Security Fabric central.
¿Nueva aplicación? El Security Fabric no solo debe poder verlo e inspeccionarlo, sino que también
debe construirse con las mismas herramientas de seguridad que se usan para proteger el resto de la
red. Y cuando los dispositivos virtuales deben activarse o desactivarse, o cuando las conexiones entre
una sucursal y las aplicaciones comerciales en la nube deben renovarse, Security Fabric debe ser
literalmente parte de ese proceso para que la seguridad nunca se vea obligada a intentar mantenerse
al día.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Control de Acceso y Segmentación

Cuando se agregan nuevos dispositivos a la red, FortiNAC garantiza que se identifiquen

automáticamente y se apliquen las reglas relacionadas con el acceso a los recursos de la red. La
segmentación basada en la intención de Fortinet garantiza que se asignen automáticamente a
segmentos de red seguros que se han mejorado con autenticación para aumentar el control y la
flexibilidad. Estos segmentos de red luego son monitoreados por Security Fabric para evitar
comportamientos no autorizados, inspeccionar aplicaciones y asegurar flujos de trabajo. Y debido a
que la seguridad y las redes están unidas, los cambios en la infraestructura de la red incluyen
automáticamente cambios en la seguridad.

Protección consistente para flujos de trabajo y aplicaciones

Los datos nunca se quedan en un solo lugar. Se comparte, se hace referencia cruzada, se extrae y se
procesa. Las redes impulsadas por la seguridad protegen los datos, las aplicaciones y los flujos de
trabajo a lo largo de toda su ruta de datos mediante la implementación de un Security Fabric único e
integrado. Este tejido se basa en plataformas de seguridad integradas implementadas en toda la red
para asegurar de manera constante ese tráfico incluso cuando pasa a través y entre diferentes
segmentos de red, entornos dinámicos de múltiples nubes, centros de datos y dispositivos.

El perímetro en expansión

El nuevo perímetro actual no solo se está expandiendo hacia el exterior a medida que las
organizaciones adoptan nuevos dispositivos, nuevas plataformas de red y nuevos modelos de
cómputo y aplicaciones, sino que también se está expandiendo hacia la red a través de la adopción
de dispositivos IoT conectados, la extensión de la red a través de múltiples entornos de red. y la
interconexión de redes para soportar sistemas inteligentes. Las redes impulsadas por la seguridad,
impulsadas por una estructura uniforme de plataformas conectadas implementadas en todos los
entornos posibles, brindan una visibilidad constante en todo el perímetro a medida que se adapta y
cambia.

Sucursales y SD-WAN segura

El mejor ejemplo de la implementación de redes impulsadas por la seguridad se realiza actualmente

en la solución Secure SD-WAN de Fortinet. Las conexiones MPLS tradicionales limitan el rendimiento
de las aplicaciones y las comunicaciones dinámicas. El enfoque de redes impulsadas por la seguridad
de Fortinet combina las protecciones integradas de un dispositivo FortiGuard NGFW con capacidades
avanzadas de redes SD-WAN para eliminar el backhauling de tráfico requerido por MPLS, priorizar las
aplicaciones críticas para el negocio y mejorar la experiencia general del usuario sin comprometer la
seguridad.

Al integrar la seguridad y las redes de esta manera, se pueden controlar cientos de implementaciones de SD-
WAN a través de una única interfaz de administración para garantizar que los servicios de redes y seguridad
estén siempre sincronizados. Y al integrar Secure SD-WAN en los puntos de acceso cableados e inalámbricos
de la sucursal, la seguridad de la red y los controles de la red se pueden extender fácilmente a la LAN de la
sucursal para permitir una integración más profunda, una autenticación más sólida, un control de acceso
dinámico y una segmentación de la red, y una seguridad uniforme. aplicación.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
Las redes impulsadas por la seguridad son una estrategia esencial para proteger las infraestructuras digitales
dinámicas y en evolución de la actualidad. Las plataformas de seguridad integradas en un Security Fabric
unificado permiten a las organizaciones adoptar la innovación digital y expandir su huella digital sin exponer
los recursos críticos a nuevos riesgos agravados por la pérdida de visibilidad y control, expandiéndose y
adaptándose en sintonía con la red mientras que las soluciones de seguridad tradicionales no brindan las
protecciones y controles flexibles que requieren los negocios digitales de hoy.

¿Qué es FortiGate?

FortiGate es la plataforma bandera del Firewall Empresarial de Fortinet, la cual está disponible para diferentes
tipos de organizaciones. Esta plataforma es adaptable a cualquier entorno empresarial, sin perder sus
funciones de seguridad de última generación.

Es conocido como el dispositivo de seguridad más famoso de Fortinet, porque a través de su hardware y
software ofrece una Gestión Unificada de Amenazas, la cual ejecuta a través de una plataforma que integra
dispositivos de seguridad, tanto físicos como virtuales.

Estos dispositivos de seguridad realizan funciones de seguridad como firewalls, detección de intrusiones,
filtrado web y protección contra malware o correos no deseados. Desde 2014, los servicios web de Amazon
(AWS) cuentan con FortiGate para proteger su plataforma de trabajo y a sus clientes. La gama de opciones de
FortiGate contempla su instalación en pequeñas, medianas y grandes empresas e inclusive en centros de
procesamiento de datos y en proveedores de internet.

¿Qué es FortiAP?

Es una solución de puntos de acceso que nos permite acceder a las redes Wi-Fi de una forma segura y
centralizada. Esta solución nos brinda protección en el perímetro de la LAN utilizando la potencia y la
seguridad del FortiGate a través del protocolo FortiLink.

FortiLink, básicamente permite que el FortiGate pueda administrar al FortiAP; impulsando así la simplicidad,
el aprovisionamiento automatizado de la LAN y mejorando la visibilidad, debido a que todo se centra en el
propio FortiGate.

FortiAP cuenta con todas las características básicas de un Access Point, sin embargo, veamos algunos de sus
diferenciadores más importantes. A través del servicio FortiPresence, FortiAP puede brindarnos información
muy valiosa sobre el tráfico de nuestros visitantes en una ubicación específica. Es decir, FortiAP incluye
capacidades para poder conocer los hábitos de nuestros visitantes, con qué frecuencia vienen, a dónde van,
cuánto tiempo tardan, etc. Al final del día obtenemos estadísticas acumulativas que pueden ser de días e
incluso semanas para poder hacer una comparativa de las mismas.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiManager?

Proporciona un panel de vidrio único en todo el tejido de seguridad de Fortinet. Esta herramienta permite
administrar centralmente cualquier número de dispositivos Fortinet con operaciones NOC-SOC y está
construida totalmente con una perspectiva de seguridad.

FortiManager es un componente clave de la solución de operaciones de seguridad de Fortinet. Estos

dispositivos permiten administrar centralmente cualquier número de dispositivos Fortinet, desde varios hasta
miles, incluidos los dispositivos virtuales como:

• FortiGate®
• FortiWiFi ™
• FortiCarrier ™
• FortiMail ™
• FortiAnalyzer ™
• Agentes de seguridad de puntos finales de FortiClient ™.

¿Qué es FortiSwitch?

Son switches ethernet que proporcionan una solución sencilla, escalable con un resultado, resiliencia y
escalabilidad sobresalientes con requisitos de la red de alto rendimiento.

FortiSwitch es único en el mercado por su capacidad de integrarse en un tejido de seguridad a través de

FortiLink. Este es nuestro modo de implementación más común. Sin embargo, FortiSwitch de Fortinet también
puede actuar como un switch independiente.

Familias y Modelos FortiSwitch:

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Redes de confianza cero (Zero trust security model)

ZTNA es una capacidad dentro del acceso de confianza cero (Zero Trust Access, ZTA) que controla el acceso a
las aplicaciones. Prolonga los principios de ZTA para verificar usuarios y dispositivos antes de cada uso de la
aplicación. ZTNA confirma que se cumplen las políticas de la organización para acceder a dicha aplicación.

Fortinet incorpora ZTNA a Fortinet Security Fabric como parte de FortiGate Next-Generation Firewall (NGFW),
hace que sea extremadamente flexible, cubriendo a los usuarios cuando trabajan de forma remota o en la
oficina. Las capacidades de ZTNA se habilitan automáticamente en cualquier dispositivo o servicio que ejecute
FortiOS 7.0. Esto incluye dispositivos de hardware, máquinas virtuales en la nube y el servicio FortiSASE.

Lo único que se necesita es un FortiGate y el agente FortiClient ZTNA para permitir un acceso más seguro y
una mejor experiencia para los usuarios remotos, ya sea dentro o fuera de la red.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiAuthenticator?

FortiAuthenticator es una solución de seguridad que nos ayuda con la gestión de identidades en nuestra
organización, la cual garantiza que solo la persona adecuada en el momento adecuado pueda acceder a las
redes y a los datos confidenciales.

Esto quiere decir que FortiAuthenticator nos proporciona tres funcionalidades muy importantes para la
autenticación en nuestra infraestructura de red y estas funcionalidades son:

En primer lugar, habilitación de acceso para nuestros usuarios: ya sean invitados, inalámbricos y
conectados localmente o con cable.

En segundo lugar, aseguramiento de acceso con el uso de autenticación de dos factores y

administración de certificados.

Y lo más importante, la gestión de identidades, misma que nos permite un inicio de sesión único,
ofreciendo seguimiento de nuestros usuarios de forma escalable y transparente.

Es importante mencionar que FortiAuthenticator lo podremos encontrar en formato físico o virtual a través
de su versión VM. Esta herramienta también puede autenticar tanto a los usuarios como a las máquinas,
incluso en entornos donde nuestros colaboradores traen sus propios dispositivos personales a la red
empresarial.

¿Qué es FortiClient?

FortiClient es un Fabric Agent, es decir es un software dirigido hacia nuestros puntos finales (o sea nuestras
computadoras y dispositivos móviles); que se comunica con el Security Fabric para brindarles información,
visibilidad y control. Cabe mencionar que también permite la conectividad segura y remota al Security Fabric.
Todo esto para brindarnos protección, cumplimiento y acceso seguro en nuestros endpoints.

Fortinet ofrece FortiClient con varios niveles de capacidades y crecientes niveles de protección. La
herramienta se combina con diferentes componentes de Security Fabric y el Enterprise Management Server
(EMS) lo administra de manera centralizada. Entre las funcionalidades que ofrece destacan:

• Agente de confianza cero con autenticación de múltiples factores.

• Administración central a través de EMS.
• Registro y generación de informes centrales.
• Conector dinámico Security Fabric.
• Agente de vulnerabilidad y corrección.
• SSL VPN con MFA e Ipsec VPN con MFA.
• Filtrado web FortiGuard. La herramienta aprovecha la investigación y los servicios de inteligencia
frente a amenazas de los laboratorios de Fortinet para mejorar la detección y el cumplimiento de las
reglas.
• Control de dispositivos USB.
• Túnel dividido para una experiencia de usuario optimizada.
• Inicio de sesión único (SSO) que se integra con la administración de acceso e identidad de
FortiAuthenticator.
• Niveles FortiClient

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
Los usuarios pueden comprar FortiClient con tres niveles de capacidad. En primer lugar, seguridad de
confianza cero: la edición ZTNA proporciona los requisitos necesarios para que los empleados en remoto se
conecten a la red con un mínimo nivel de control. Asimismo, habilita túneles cifrados ZTNA y VPN, filtrado de
URL, control de dispositivos USB e incluye la gestión central a través de FortiClient EMS.

En segundo lugar, Fortinet ofrece protección de punto final, edición EPP/APT. Este nivel amplía las
funcionalidades del anterior gracias a la incorporación de un antivirus de próxima generación (NGAV por sus
siglas en inglés). Este antivirus está basado en inteligencia artificial, cuarentena de punto final y firewall de
aplicaciones.

Por último, el tercer nivel de FortiClient brinda una seguridad de punto final basada en la nube. Se trata de la
edición SASE, la cual amplía el nivel EPP/ATP ya que incorpora capacidades de firewall as a service de los
servicios de FortiSASE. También integra la inspección SSL, la prevención de intrusiones y de pérdida de datos.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiNAC?

Hoy en día nuestras redes están invadidas de dispositivos de tipo Internet de las Cosas o IoT, que sin duda
alguno de estos dispositivos no ha traído muchos beneficios para hacer nuestra vida más fácil, pero hablando
en términos de seguridad, nos quedan a deber ya que estos dispositivos se hicieron pensando en usabilidad
no en seguridad. Esto ha traído consigo muchos problemas en nuestras redes al no tener un control real sobre
la seguridad de los dispositivos IoT; el no tener una visibilidad completa de la red, pero sobre todo no poder
contar con una respuesta a incidentes de forma automática. Consciente de estos problemas, Fortinet ha
creado un dispositivo de seguridad llamado FortiNAC.

FortiNAC nos permite tener una completa visibilidad de la red, ver todo lo que se conecta en ella, tener la
capacidad de controlar los dispositivos y usuarios brindando perfiles, así como también respuestas de
seguridad dinámicas y automatizadas.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Adaptive Cloud Security (Seguridad en la nube adaptativa)

A medida que la adopción de la nube se acelera, las organizaciones dependen cada vez más de servicios e
infraestructuras basados en la nube. Sin embargo, las organizaciones a menudo terminan con un conjunto
heterogéneo de tecnologías en uso, con controles de seguridad dispares en varios entornos en la nube. Las
soluciones de seguridad en la nube dinámicas de Fortinet proporcionan la visibilidad y el control necesarios
en todas las infraestructuras de la nube, lo que permite conectividad y aplicaciones seguras desde el centro
de datos a la nube.

A medida que las infraestructuras se diversifican, se agregan nuevas tecnologías y herramientas a la red, lo
que expande la superficie de ataque. Las organizaciones necesitan un panel único para obtener visibilidad y
definir políticas de seguridad consistentes en toda la infraestructura para administrar el riesgo de manera
efectiva.

Visibilidad y control de SaaS

FortiCASB-SaaS aprovecha la API de la aplicación de Seguridad como Servicio (SaaS) para monitorear toda la
actividad de SaaS y la configuración de los servicios de SaaS. Las organizaciones obtienen una visibilidad
completa sobre el uso de las aplicaciones de SaaS, incluida la propagación de malware o la posible fuga de
datos.

Visibilidad y control de IaaS

FortiCWP aprovecha la API de administración de la nube pública para monitorear la actividad y la

configuración de los recursos en múltiples nubes. Además, proporciona informes de cumplimiento
consistentes en entornos de múltiples nubes y una investigación de incidentes simplificada.

Visibilidad y control de IaaS

FortiCWP aprovecha la API de administración de la nube pública para monitorear la actividad y la

configuración de los recursos en múltiples nubes. Además, proporciona informes de cumplimiento
consistentes en entornos de múltiples nubes y una investigación de incidentes simplificada.

Seguridad de aplicaciones

El creciente número de aplicaciones creadas en una diversidad de infraestructuras en la nube requiere la

protección de aplicaciones consistente. Los controles de seguridad avanzados de la capa de aplicación ofrecen
a las organizaciones la confianza de elegir plataformas en la nube según sus prioridades comerciales, sin
limitaciones de seguridad.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
Seguridad de aplicaciones web

Fortinet ofrece una diversidad de soluciones de seguridad de aplicaciones web que son ideales para clientes
basados en la nube, que mejoran el cumplimiento normativo para aplicaciones relevantes y paquetes de
seguridad específicos de API.

Productividad segura

El Fortinet Security Fabric permite una visibilidad y un control que protegen los mensajes de correo electrónico
de las amenazas de día cero y monitorea la capa API de Office 365.

Seguridad de red

Las organizaciones que utilizan una diversidad de infraestructuras en la nube y cambian a entornos de
múltiples nubes requieren una conectividad de red segura en diferentes ubicaciones para abstraer los límites
físicos y proteger la confidencialidad de la comunicación.

Protección de la nube híbrida

FortiGate-VM ofrece una postura de seguridad consistente y protege la conectividad en las nubes públicas y
privadas, mientras que las conexiones de VPN de alta velocidad protegen los datos. Las políticas de seguridad
se aplican en todos los entornos y se controlan con un panel único de administración.

Concentrador de servicios de seguridad en la nube

Las organizaciones adquieren una aplicación de seguridad centralizada, compartida y consistente con un
concentrador de seguridad en la nube que permite la conexión segura de redes, ubicaciones, nubes y centros
de datos. La división de la seguridad desde el desarrollo de aplicaciones ofrece agilidad organizacional sin
comprometer la seguridad.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiADC?

FortiADC mejora la escalabilidad, el rendimiento y la seguridad de sus aplicaciones, tanto si están alojadas en
las instalaciones como en la nube. FortiADC es un controlador de entrega de aplicaciones avanzado que
optimiza el rendimiento y la disponibilidad de las aplicaciones, a la vez que las protege tanto con sus propias
herramientas de seguridad nativas como mediante la integración de la entrega de aplicaciones en Fortinet
Security Fabric.

FortiADC proporciona aceleración de aplicaciones, equilibrio de carga y seguridad web inigualables, tanto si
se utiliza para aplicaciones dentro de un centro de datos único como si sirve para múltiples aplicaciones para
millones de usuarios en todo el mundo. FortiADC incluye aceleración de aplicaciones, WAF, IPS, SSLi, equilibrio
de carga de enlaces y autenticación de usuario en una solución para ofrecer disponibilidad, rendimiento y
seguridad en una única licencia con todo incluido.

FortiGSLB Cloud es un servicio basado en DNS que ayuda a garantizar la continuidad del negocio al mantener
una aplicación en línea y disponible cuando un área local experimenta picos de tráfico inesperados o tiempo
de inactividad de la red.

FortiGSLB permite a las organizaciones implementar recursos redundantes en todo el mundo para mantener
la disponibilidad de las aplicaciones de misión crítica. FortiADC está disponible como un dispositivo de
hardware de alto rendimiento, como un dispositivo virtual o bajo demanda a través de mercados en la nube
en AWS, Azure, Google Cloud y Oracle Cloud.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiMail?

FortiMail ofrece una protección integral y de primera categoría contra amenazas. El correo electrónico es una
herramienta fundamental para la comunicación y productividad comercial diaria. También es un vector de
ataque popular entre los perpetradores que intentan robar credenciales, obtener datos confidenciales o
guardarlos para un rescate, o robar fondos al obtener acceso a información bancaria. A medida que los
atacantes montan campañas multivectoriales más sofisticadas contra sus objetivos, la seguridad del correo
electrónico debe proporcionar protección multicapa.

Con el mejor rendimiento en su clase validado por empresas de pruebas independientes, FortiMail ofrece
protección avanzada de múltiples capas contra el espectro completo de amenazas transmitidas por correo
electrónico. Desarrollado por la inteligencia de amenazas de Laboratorios FortiGuard e integrado en la
Security Fabric de Fortinet, FortiMail ayuda a su organización a prevenir, detectar y responder a amenazas
basadas en correo electrónico, como correo no deseado, suplantación de identidad, malware, amenazas de
día cero, suplantación y ataques de compromiso de correo electrónico empresarial (BEC).

¿Qué es FortiWeb?

FortiWeb es un Web Application Firewall o WAF que protege a nuestras aplicaciones web y APIs críticas de
ataques dirigidos tanto de vulnerabilidades conocidas como desconocidas al usar un enfoque avanzado de
múltiples capas, el cual es respaldado por un sofisticado motor de Machine Learning.

En pocas palabras, esta herramienta defiende a nuestras aplicaciones de vulnerabilidades conocidas y de

amenazas de día cero con ayuda del Machine Learning.FortiWeb puede alcanzar su objetivo, el cual es
proteger a nuestras aplicativos web y APIs, gracias a las siguientes características principales:

• FortiWeb nos brinda protección contras las amenazas del OWASP top-10, ataques de DDoS, ataques
de bots maliciosos y mucho más con el fin de defender a las API´s y aplicaciones web más críticas.

• FortiWeb utiliza varias capas de defensa para proteger a nuestras aplicaciones, una de ellas es la
constante actualización de firmas. Sin embargo, también hace uso de Machine Learning para
proteger a las aplicaciones de ataques de día cero y minimizar los falsos positivos.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
Gracias a la integración con FortiGate y FortiSandbox, FortiWeb nos brinda protección contra amenazas
persistentes avanzadas.Adicionalmente, es importante mencionar que FortiWeb está disponible como
dispositivo físico, virtual y como servicio en la nube basado en SaaS.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Centro de operaciones de seguridad (Security operations center)

Un SOC realiza gran parte de lo que hace un equipo de operaciones de seguridad en el sitio. Esto incluye
monitorear, detectar, investigar y responder a las amenazas. A menudo, se implementa una pared de video,
que es una colección de monitores colocados uno al lado del otro. Un SOC también es responsable de
salvaguardar los activos digitales de la organización, como los datos personales de los empleados, la
propiedad intelectual, los activos relacionados con la marca y los sistemas comerciales.

Durante la implementación de los protocolos de seguridad de la organización y el tejido de respuesta a

amenazas, puede facilitar la colaboración entre diferentes departamentos e individuos para garantizar un
enfoque unificado para monitorear, evaluar y defenderse contra amenazas cibernéticas.

Por lo general, un SOC se diseña utilizando una configuración centralizada de hub-and-spoke. Esto implica un
sistema de gestión de eventos e información de seguridad (SIEM), que recopila y correlaciona los datos que
se transmiten desde las fuentes de seguridad. Dependiendo de las necesidades de la red de la organización,
esto puede implicar varias herramientas diferentes. Algunos pueden incluir sistemas de riesgo y
cumplimiento, protocolos de gobierno, evaluación de vulnerabilidades, detección y reparación de puntos
finales, plataformas de inteligencia de amenazas y análisis de comportamiento de usuarios individuales y
entidades comerciales.

10 funciones clave realizadas por el SOC:

Hacer un balance de los recursos disponibles

El SOC gestiona dos categorías de recursos. Uno abarca los dispositivos, aplicaciones y procesos que
tienen que proteger. El otro involucra las herramientas que usa el SOC para salvaguardar estos
activos.

El panorama de activos que el SOC debe proteger puede ser enorme, según las necesidades de TI de
la organización. Incluye todos los componentes que componen la red, por lo general, una variedad
de puntos finales, tanto móviles como de escritorio. También puede involucrar recursos en la nube
que sirvan a los clientes de la organización o respalden las operaciones y aplicaciones internas. En
algunas situaciones, el SOC diseña protecciones para dispositivos de Internet de las cosas (IoT), que
pueden incluir todo, desde microondas de cocina hasta escáneres de almacén.

La clave para proteger la red es una visibilidad adecuada. Sin él, puede haber puntos ciegos
potencialmente peligrosos que los atacantes pueden aprovechar. Por lo tanto, uno de los principales
objetivos del SOC es obtener una visibilidad completa de todos los puntos finales, el software y los
servidores. Esto incluye componentes internos y cualquier cosa que se conecte a la red de la
organización. A veces, significa tener en cuenta los puntos finales que los clientes y socios pueden
usar para interactuar con la red para reuniones o colaboración profesional.

Para proteger adecuadamente esta amplia gama de sistemas y dispositivos, un SOC debe tener un
conocimiento amplio y profundo de las herramientas a su disposición. Es similar a un carpintero que
no solo necesita saber qué tipo de martillo es el mejor para clavar cierto tipo de clavo, sino también
la mejor manera de balancearlo, aprovechar el peso de la cabeza del martillo y qué tan abajo está el
mango. para sostenerlo mientras golpea el clavo.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Además, el SOC necesita una comprensión profunda de los flujos de trabajo dentro de la
organización, incluido cómo funcionan los departamentos y equipos individuales y cómo se abordan
las amenazas en el día a día.

Preparación y Mantenimiento Preventivo

No importa qué tan bien preparado esté un equipo de TI, es prácticamente imposible prevenir todos
los problemas. Las amenazas seguramente inundarán el sistema de una forma u otra, y desde varios
ángulos. Sin embargo, el SOC puede hacer mucho para mitigar los esfuerzos de los atacantes, a
menudo venciéndolos por completo. Esto se hace mediante la preparación y el mantenimiento
preventivo.

Preparación: El primer paso para la preparación es que el SOC se mantenga al tanto de las
innovaciones de seguridad a su disposición. Esto es crucial porque las amenazas más recientes a
menudo se manejan mejor utilizando las últimas tecnologías de detección y respuesta a amenazas.
Además, con el rápido crecimiento del uso de dispositivos IoT, el panorama de la protección está en
constante expansión. Por lo tanto, es imprescindible una comprensión profunda de cómo funciona
cada categoría de dispositivo IoT y sus vulnerabilidades.

La preparación implica hacer un balance de las herramientas disponibles y las amenazas que podrían
surgir, y luego diseñar una hoja de ruta que detalle cómo enfrentar cada desafío. Este plan debe ser
minucioso pero flexible, particularmente porque constantemente surgen nuevas amenazas.

La hoja de ruta debe incluir medidas de recuperación ante desastres. Si se infiltra el sistema y un
ataque tiene éxito, estas medidas pueden marcar la diferencia entre horas y días de inactividad. La
hoja de ruta de recuperación ante desastres también debe tener en cuenta los diferentes tipos de
desastres que afectan a su infraestructura de TI de manera impredecible y asimétrica. Por ejemplo,
un ataque puede infectar terminales móviles, mientras que otro puede paralizar las estaciones de
trabajo de los usuarios en las instalaciones. Es prudente formular planes para ambas situaciones.

Mantenimiento preventivo: El mantenimiento preventivo no se trata tanto de prevenir ataques

porque los ataques van a ocurrir. Se enfoca más en asegurarse de que los ataques fallen o en limitar
el daño que infligen. Integral al mantenimiento preventivo es la regularidad. Su sistema de seguridad
debe actualizarse constantemente para que pueda mantenerse al día con las metodologías de
ataque en constante evolución. Esto implica asegurarse de que las políticas de firewall de su red
estén actualizadas, identificar vulnerabilidades y luego parchearlas, y elegir qué sitios desea incluir
en la lista blanca y en la lista negra, y luego agregar y quitar sitios regularmente de ambas categorías.

El mantenimiento preventivo también implica asegurarse de que las aplicaciones que interactúan
con su red sean seguras. Las aplicaciones se han convertido en una superficie de ataque cada vez
más popular, pero al proteger la aplicación o su entorno, puede limitar la eficacia de los ataques.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Monitoreo Proactivo Continuo

El monitoreo constante es clave para maximizar la visibilidad. Para garantizar que su sistema de
monitoreo sea efectivo, el equipo SOC implementa herramientas que escanean su red en busca de
cualquier cosa que aparezca como sospechosa.

Esto incluye amenazas obvias y actividad anormal que puede o no representar un peligro. Algunas
actividades serán fáciles de identificar como maliciosas porque los datos se ajustan a un perfil de
amenaza preidentificado. Otra actividad puede ser sospechosa pero no abiertamente peligrosa. El
manejo proactivo incluso de amenazas levemente sospechosas puede implicar el aislamiento de los
datos o la promulgación de protocolos de seguridad para proteger los dispositivos expuestos.

Para que esto sea posible, las herramientas como SIEM o el sistema de detección y respuesta de
punto final (EDR) pueden ser las piezas centrales del enfoque del equipo SOC. Los sistemas SIEM y
EDR avanzados incorporan inteligencia artificial (IA) para ayudarlos a "aprender" el comportamiento
tanto de los usuarios como de los puntos finales. Si algo parece fuera de lo común, se pueden tomar
medidas preventivas para contener o eliminar el peligro.

Dentro del proceso de monitoreo debe haber sistemas que automáticamente, e inmediatamente,
alerten al equipo SOC de amenazas emergentes. Debido a que no es raro recibir cientos o miles de
alertas todos los días, las alertas en sí deben administrarse.

Clasificación y gestión de alertas

Las alertas generadas por el sistema deben examinarse para evitar que el equipo de TI pierda tiempo
o interrumpa innecesariamente el flujo de trabajo de los empleados o la administración. El equipo
SOC asume la responsabilidad de examinar cada alerta. Luego, el equipo filtra los falsos positivos
que podrían consumir tiempo y recursos innecesariamente.

Si se identifica una amenaza real, el equipo SOC debe determinar qué tan agresiva es y el tipo de
amenaza. También tiene que determinar a qué áreas de la red se dirige la amenaza. Esto facilita que
el SOC maneje cada amenaza potencial de la manera más eficiente posible. También les brinda un
medio para clasificar las amenazas en términos de urgencia. Luego pueden descubrir cómo distribuir
mejor los recursos para manejarlos.

Respuesta a amenazas

Abordar una amenaza emergente es una de las actividades más fundamentales de un SOC. Cuando
se ha identificado una amenaza, es el SOC el que actúa como las botas sobre el terreno, y son los
primeros en llegar al lugar, tomando las medidas adecuadas para proteger la red y sus usuarios. Esto
puede implicar el cierre completo de los puntos finales o su desconexión de la red.

En algunos casos, tienen que aislar un punto final para garantizar que la amenaza no se propague.
La respuesta a la amenaza del SOC también puede implicar la identificación de los procesos
afectados y su terminación. Con algunas amenazas, el software malicioso puede utilizar los procesos
para ejecutar ataques en otros dispositivos conectados, por lo que la terminación puede proteger
una variedad de otros puntos finales en la red. En otras situaciones, es posible que se deban eliminar
archivos de componentes específicos de la red para proteger a otros usuarios.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 A medida que el SOC responde a la amenaza, se enfoca en brindar una solución integral y minimizar
la interrupción de la actividad del usuario. De esta manera, se puede mantener la continuidad del
negocio mientras se mantiene segura la organización.

Recuperación y remediación

Después de que el polvo se asiente después de un incidente, el SOC tiene que volver a poner las
cosas en funcionamiento. Esto puede implicar la recuperación de datos perdidos o el examen de
datos que pueden haberse visto comprometidos. El proceso es necesariamente exhaustivo. Cada
punto final que pueda haber estado dentro del vector de ataque debe examinarse cuidadosamente
para asegurarse de que sea seguro, al igual que cualquier área de la red que se conecte a él.

En el caso de un ataque de ransomware, es posible que el SOC tenga que identificar las copias de
seguridad realizadas antes de que se produzca el ataque. Estos se pueden usar para restaurar los
dispositivos después de que se haya realizado un borrado, lo que efectivamente envía el dispositivo
"atrás en el tiempo" a cómo estaba antes del incidente.

Gestión de registros

Aunque los registros a menudo se generan automáticamente y se pasan por alto la mayor parte del
tiempo, contienen una gran cantidad de información útil sobre el sistema, incluida cualquier cosa
que pueda haberse infiltrado en él. Por lo tanto, el equipo SOC debe recopilar, mantener y revisar
cuidadosamente la actividad de registro. Dentro de un registro, verá una instantánea de referencia
del sistema en un estado saludable. Si se comparan dos registros uno al lado del otro, es posible que
se revele la presencia de una amenaza porque el segundo registro difiere de la instantánea de
referencia.

Además, los registros se pueden usar para remediar después de un incidente de seguridad. Lo
principal para la remediación es realizar un examen forense de los datos de registro, que a menudo
revela información importante sobre la naturaleza de una amenaza y sus objetivos.

Por supuesto, diferentes puntos finales, cortafuegos y sistemas operativos conectados a la red
procesan varios registros simultáneamente. Debido a que cada uno de estos produce su propio
registro, un SOC puede usar una herramienta SIEM para la agregación y correlación de los datos.
Esto agiliza el proceso de análisis de registros.

Análisis de causa raíz

Después de un incidente, es el SOC el que tiene que responder las preguntas centrales del incidente.
¿Qué sucedió? ¿Cómo se logró? ¿Por qué sucedió? Los datos de registro también juegan un papel
importante en este proceso. Ayuda a averiguar cómo penetró la amenaza en el sistema, así como
por dónde entró y de dónde provino. Cuando esta información se recopila y se correlaciona, se
puede usar para evitar que amenazas similares pasen en el futuro.

Con algunos sistemas, el SOC puede tomar información sobre la amenaza e ingresarla en el sistema
de prevención para que pueda agregarse a una lista de peligros. Esto ayuda a detener futuras
amenazas tanto para la propia organización como para otras que puedan hacer uso de los mismos
mecanismos de protección.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 Refinamiento y mejora de la seguridad

Debido a que los ciberdelincuentes refinan y actualizan constantemente su forma de operar, un SOC
debe hacer lo mismo. Esto implica algo más que actualizar una base de datos de detección de
amenazas. El SOC debe realizar mejoras continuas en sus medidas de seguridad y tecnología para
mantenerse al día y por delante de las últimas herramientas utilizadas por los piratas informáticos y
otros malos actores.

El refinamiento y la mejora efectivos implican realizar cambios, ya sean pequeños o grandes, en la

hoja de ruta de seguridad. Si esto se hace de manera unificada, a nivel global, todos en la
organización pueden beneficiarse.

Gestión de Cumplimiento

Los requisitos de cumplimiento vienen en dos formas: aquellos que son dictados por agencias
gubernamentales externas y aquellos que constituyen las mejores prácticas para una organización.
El cumplimiento derivado de las regulaciones gubernamentales es común en una variedad de
industrias, particularmente en los ámbitos médico, financiero, legal y de aplicación de la ley.

Algunas regulaciones que comúnmente afectan las consideraciones de cumplimiento de las

organizaciones incluyen el Reglamento General de Protección de Datos (GDPR), la Ley de
Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de
la Industria de Tarjetas de Pago (PCI DSS). El cumplimiento de estas normas protege tanto al sistema
de peligros como a la organización de litigios potencialmente costosos. Un SOC efectivo toma el
control de estas medidas, asegurándose de que todo se haga de acuerdo con los estándares
legislativos.

El cumplimiento derivado de las mejores prácticas establecidas por la organización es común a

prácticamente cualquier empresa. El SOC tiene la tarea de tomar las medidas existentes e
implementarlas de acuerdo con la política organizacional. Además, si el marco de cumplimiento de
una organización aún está incompleto, el SOC puede asumir la responsabilidad de determinar cuáles
son las mejores prácticas de la organización y luego traducirlas en un protocolo procesable y
replicable.

Diferentes modelos de SOC

El enfoque SOC no es una metodología única para todos. Hay una variedad de modelos, que van desde
aquellos que son soluciones 100% subcontratadas hasta aquellos que involucran elementos significativos del
equipo interno de TI.

• SOC interno o dedicado: con esta configuración, la empresa utiliza su propio personal para
desplegar un equipo de ciberseguridad.
• SOC virtual: el SOC generalmente funciona de forma remota y sin una instalación física.
• SOC global: se refiere a un grupo que supervisa varios otros SOC que pueden estar repartidos por
una región.
• SOC cogestionado: el equipo de TI interno de la empresa une fuerzas con un proveedor externo.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
¿Cuáles son los beneficios de un SOC?

El principal beneficio de un SOC es la mejora de las medidas de seguridad mediante el monitoreo y análisis
continuos. Esto produce una respuesta más rápida y eficaz a las amenazas en todo el sistema. Sin embargo,
también hay beneficios adicionales.

Minimiza el tiempo de inactividad

Las amenazas se detectan más rápido y se clasifican de manera más efectiva, y permiten que su personal
interno se concentre en iniciativas importantes además de la seguridad cibernética que proporciona el SOC.

Fomentar la confianza del cliente

Todo lo que se necesita es una infracción significativa para erosionar la confianza del cliente. Con un SOC que
funciona las 24 horas, su red y los datos de sus clientes están mejor protegidos.

Desafíos del SOC

Los equipos de SOC enfrentan el desafío constante de mantenerse a la vanguardia de los piratas informáticos
y otras amenazas de seguridad cibernética. A medida que el panorama de amenazas cambia y se expande,
este desafío se vuelve más complicado. Aquí hay tres obstáculos específicos que un SOC debe superar para
hacer que las organizaciones sean más seguras.

Escasez de habilidades en ciberseguridad

Según un informe de ISC, existe una escasez mundial de personal de ciberseguridad, y esto también ha
afectado a SOC. La brecha de habilidades puede resultar en que los equipos SOC tengan poco personal y sean
menos efectivos, lo que expone a las organizaciones a las que sirven a un mayor riesgo.

Demasiadas alertas

Con un conjunto más completo de herramientas de detección de amenazas, la cantidad de alertas aumenta
invariablemente. Esto da como resultado una preponderancia de alertas, muchas de las cuales son falsos
positivos que podrían desperdiciar tiempo y energía.

Gastos generales operativos

A menudo, las organizaciones implementan una variedad de herramientas de seguridad que, y debido a que
no están unificadas, las operaciones de seguridad se vuelven ineficientes. Esto resulta en dinero
desperdiciado y gastos generales operativos más altos de lo necesario.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
Optimización de un modelo operativo de seguridad: mejores prácticas de SOC

Aunque SOC depende en gran medida de la tecnología automatizada, el elemento humano sigue siendo un
componente crucial. Uno de los elementos más importantes del enfoque de un SOC es entablar
conversaciones significativas y productivas con las partes interesadas de la organización. Mediante
interacciones claras, sinceras y genuinas, un equipo SOC puede determinar qué es lo que hace funcionar a
una organización, incluidos cuáles son sus temores y preocupaciones y qué objetivos comerciales tienen
prioridad.

Un SOC debe aprovechar una red global de ciber inteligencia para mantenerse al día con los últimos
desarrollos en el mundo de la ciberseguridad. Esto no solo le brinda al SOC una lista más completa de
amenazas, sino que también les da acceso a fuentes de noticias que contienen información importante sobre
los desarrollos en el espacio de la ciberseguridad.

Además de mantenerse conectado con los recursos de ciber inteligencia de todo el mundo, un SOC efectivo
debe contar con sistemas para implementar las actualizaciones que obtienen de estas redes. De esta forma,
si se presentan soluciones para hacer frente a amenazas novedosas, el SOC puede integrarlas sin problemas
en su tejido de seguridad actual.

La automatización es otra faceta de un SOC exitoso. Esto ahorra energía humana, liberándola para otras
iniciativas. Además, la automatización mejora la eficiencia y reduce los errores. Si bien no todos los procesos
se pueden automatizar fácilmente, los que se pueden automatizar deberían ser para aumentar la oferta
general del SOC.

Además, es importante que un SOC tenga en cuenta los desafíos que presenta la arquitectura de la nube.
Independientemente de cuánto utilice una organización la nube, esta tecnología a menudo tiene efectos de
gran alcance en la superficie de ataque. Sin un examen cuidadoso de cómo interactúan los diferentes
elementos basados en la nube, puede ser fácil pasar por alto una vulnerabilidad potencial.

¿Qué son los Servicios SOC?

Un centro de operaciones de seguridad (SOC) es un centro que sirve como ubicación para monitorear los
sistemas de información que una empresa usa para su infraestructura de TI. Esto puede incluir todo, desde
sitios web, bases de datos, servidores, aplicaciones, redes, escritorios, centros de datos y una variedad de
puntos finales de la empresa.

¿Por qué necesita un centro de operaciones de seguridad?

Un SOC protege los datos, los sistemas y otros recursos digitales de una organización las 24 horas del día.

¿Cuál es la diferencia entre NOC y SOC?

Un centro de operaciones de red (NOC) se enfoca en minimizar el tiempo de inactividad y asegurarse de que
se cumplan los acuerdos de nivel de servicio (SLA). Por otro lado, un SOC está involucrado en una gestión y
prevención de amenazas más profunda, incluida la evaluación de las vulnerabilidades de una organización.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiAI?

Para hablar de FortiAI primero tenemos que saber qué la Inteligencia Artificial (AI por sus siglas en inglés). La
AI es la capacidad de una máquina para imitar el comportamiento humano inteligente. Esta se divide en tres
categorías o modelos:

Aprendizaje automático: utiliza datos para refinar la forma en que las computadoras hacen predicciones o
realizan tareas.

Redes neuronales artificiales (ANN): son más sofisticadas que el aprendizaje automático. Se define como un
sistema de hardware y / o software que sigue el modelo del funcionamiento de las neuronas del cerebro
humano. Redes neuronales profundas (DNN): es la forma más sofisticada de IA. Se define como múltiples
capas de redes neuronales artificiales que existen entre las capas de entrada y salida para modelar relaciones
complejas no lineales.

¿Qué es FortiAnalyzer?

FortiAnalyzer ayuda a realizar una gestión centralizada de los registros de todos los productos de Fortinet
dentro de la plataforma Security Fabric.

Security Fabric imagina que este tiene como objetivo interconectar diferentes tipos de soluciones, para tener
una visión completa de la red y así automatizar la respuesta a incidentes.

De manera sencilla, Security Fabric tiene como objetivo interconectar diferentes tipos de soluciones, para
tener una visión completa de la red y así automatizar la respuesta a incidentes. Para poderlo habilitar, nuestra
red tiene que tener como mínimo un FortiAnalyzer así como también 2 o más FortiGates.

Ahora sí, con nuestro Security Fabric y FortiAnalyzer podrás, independientemente del proyecto que estés
manejando, almacenar de forma centralizada los registros de todo lo que está pasando en la red, no solamente
para cumplir con temas de auditoría sino también para poder hacer un uso activo de ellos.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiDeceptor?

FortiDeceptor se basa en tecnología basada en el fraude que complementa la estrategia de protección contra
la violación existente de una organización, se diseñó para engañar, exponer y eliminar los ataques que se
originan en fuentes externas o internas antes de que se produzca un daño real.

Características y Ventajas:

• Visibilidad accionable: El mapa de amenazas guiado por GUI rápidamente descubre campañas de
amenazas dirigidas a su organización.

• Protección automatizada: La integración de la infraestructura de seguridad proporciona el bloqueo

en tiempo real de los atacantes antes de que ocurra un daño real.

• Implementación fácil: Administre y automatice de manera centralizada la implementación de

máquinas virtuales y señuelos de fraude

Las técnicas de engaño no solo son efectivas para proteger contra ataques externos. También son
herramientas poderosas para descubrir amenazas internas. Si los empleados deshonestos comienzan a hurgar
en una red en busca de información a la que no están autorizados a acceder, la tecnología de engaño es una
de las formas más efectivas de atraparlos. El engaño de próxima generación se diferencia de los honeypots
basados en detección porque también incluye herramientas como el análisis de amenazas, así como la
integración con controles de seguridad, para bloquear de forma proactiva los ataques antes de que se pueda
infligir un daño real.

Con FortiDeceptor, las organizaciones pueden crear rápidamente un entorno falso que simule la red y los
activos reales. A través del despliegue automático de señuelos y tokens, la red de engaño se integra a la
perfección con una infraestructura de TI / OT existente para atraer a los atacantes externos e internos para
que se revelen.

Al igual que con la implementación de cualquier nueva tecnología, el éxito de la adopción de una nueva
solución de engaño se basa en tres cosas: primero, su facilidad de uso, segundo, su efectividad y tercero, la
automatización. FortiDeceptor proporciona estas funciones junto con soporte completo para las tres áreas
clave que cualquier tecnología de engaño eficaz debe abordar.

• Gestión: Incluye la orquestación totalmente automatizada de señuelos y tokens para crear una red
de engaños también conocida como un laberinto que falsifica los activos de TI críticos en toda la
organización que son completamente indistinguibles de los activos de TI reales.

• Análisis: el análisis de amenazas también está integrado en la solución FortiDeceptor , lo que le

permite ir más allá de la simple detección de un intruso para descubrir la campaña de amenazas más
grande.

• Integración: para interrumpir el reconocimiento de un atacante, la solución FortiDeceptor también

genera inteligencia que se puede compartir directamente con su infraestructura de seguridad para
permitir la aplicación automática de políticas o actualizaciones de protección para bloquear las
amenazas antes de que se produzcan daños.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiEDR?

Los ataques avanzados pueden requerir solo minutos, si no es que segundos, para comprometer los
endpoints. Las herramientas de detección y respuesta de endpoint (EDR) de primera generación simplemente
no pueden mantener el ritmo. Requieren un triaje manual y respuestas que no solo son demasiado lentas
para las amenazas que se mueven rápidamente, sino que también generan un gran volumen de indicadores
que sobrecargan los equipos de seguridad ya sobrecargados. Además, las herramientas de EDR heredadas
aumentan el costo de las operaciones de seguridad y pueden ralentizar los procesos, impactando
negativamente a las empresas.

FortiEDR ofrece protección avanzada contra amenazas en tiempo real para endpoints tanto antes como
después de la infección. Reduce de forma proactiva la superficie de ataque, previene la infección de malware,
detecta y desactiva posibles amenazas en tiempo real, y además puede automatizar los procedimientos de
respuesta y corrección con manuales de estrategias personalizables. FortiEDR ayuda a las organizaciones a
detener las violaciones en tiempo real de manera automática y eficiente, sin abrumar los equipos de seguridad
con una gran cantidad de alarmas falsas ni interrumpir las operaciones de la empresa.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiSandbox?

Para entender qué es FortiSandbox, debemos tener presente que existe un marco llamado MITRE ATT & CK.
Este marco nos sirve para identificar las tácticas, técnicas y procedimientos que las amenazas persistentes
avanzadas utilizan para penetrar a los sistemas; buscando una rápida identificación y detección de estas.

Ahora sí, FortiSandbox es un dispositivo de seguridad que integra el marco MITRE ATT & CK en su análisis y
está impulsado por dos tipos de modelos de aprendizaje automático (o sea un análisis estático y un análisis
dinámico) para hacer frente a las amenazas de rápida evolución o amenazas de día cero.

¿Qué es FortiSIEM?

Todos los días y en todo momento, nuestros equipos de seguridad y los propios equipos de la red, están
generando una gran cantidad de información sobre lo que están haciendo; cómo lo están haciendo, en qué
momento y más. Obviamente, esta es una información muy valiosa para los analistas de seguridad; razón
por la cual han sido creadas soluciones de seguridad llamadas SIEM.

Un SIEM es una solución de seguridad que permite de forma centralizada, obtener datos (o registros) de
múltiples sistemas en la red, con el fin de analizarlos y detectar comportamientos medios raros o incluso
posibles ataques.

Sin embargo, en el mundo actual donde las amenazas están evolucionando constantemente como por
ejemplo en el IoT o la nube, estas funcionalidades básicas no siempre son suficientes, es por eso que hoy te
presentamos al FortiSIEM. FortiSIEM es un dispositivo que nos brinda una visibilidad completa de la red
mediante:

• La recopilación, correlación y análisis de registros y datos de los dispositivos.

• Detección de anomalías y amenazas.
• Automatización de la respuesta y la remediación de amenazas desde un solo panel de control.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
FortiSIEM puede utilizar esta información para producir informes de cumplimiento que nos pueden ayudar
con auditorías e incluso con la gestión de amenazas. Esta herramienta utiliza el control de acceso basado en
roles y cabe mencionar que no solo intercambia inteligencia dentro del Security Fabric, sino que también se
beneficia con la última inteligencia de amenazas de FortiGuard.

¿Qué es FortiSOAR?

A medida que se expande la superficie de ataque digital, los equipos de seguridad también deben expandir
sus capacidades de defensa. No obstante, agregar herramientas de monitoreo de seguridad adicionales no
siempre es la solución. Las herramientas de monitoreo adicionales implican más alertas que los equipos de
seguridad deben investigar, más switching de contexto en el proceso de investigación y tiempos de respuesta
más largos. Esto crea varios desafíos para los equipos de seguridad, incluida la fatiga de alertas, la falta de
personal de seguridad calificado para administrar nuevas herramientas y tiempos de respuesta más largos.

Integrado en el Fortinet Security Fabric, la Orquestación de seguridad, automatización y respuesta (SOAR) de

FortiSOAR soluciona algunos de los mayores desafíos que enfrentan los equipos de ciberseguridad en la
actualidad. Permitir que los equipos del Centro de operaciones de seguridad (SOC) creen un marco de trabajo
automatizado personalizado que reúne todas las herramientas de su organización, unifica las operaciones,
elimina la fatiga de las alertas y reduce el switching del contexto. Esto permite a las empresas no solo adaptar,
sino también optimizar su proceso de seguridad.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
 ¿Qué es FortiXDR?

La detección y respuesta extendida (XDR) es una extensión natural del concepto de detección y respuesta de
endpoints (EDR), en la que los comportamientos que ocurren después de la actuación de los controles de
prevención de amenazas se inspeccionan más a fondo para detectar actividades potencialmente maliciosas,
sospechosas o riesgosas que justifiquen su mitigación. La diferencia es simplemente la ubicación (endpoint o
más allá) donde ocurren los comportamientos.

Las soluciones de XDR son cada vez más populares a medida que las organizaciones reconocen las
ineficiencias, y en muchos casos la ineficacia, de las infraestructuras de seguridad compuestas por muchos
productos de seguridad individuales “los mejores en su clase” que implementan diferentes proveedores a
través del tiempo. Los desafíos comunes que surgen de este enfoque de productos de punto incluyen:

• Brechas en la seguridad: al operar cada producto en su propio silo, con frecuencia surgen
oportunidades para que los ciberataques entren en el medio
• Demasiada información de seguridad: con cada producto generando alertas individuales y otra
información, los equipos de seguridad pueden pasar por alto fácilmente indicadores de ciberataques
• Respuesta no coordinada: al operar cada producto de manera independiente, le corresponde al
operador humano compartir información y coordinar las acciones de respuesta.

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR
Enlaces:

• https://training.fortinet.com/pluginfile.php/1194825/mod_resource/content/1/Fo
rtinet_Product_Awareness_Course_Description.pdf
• https://www.fortinet.com/lat/products
• https://www.ingrammicro.com/healthcare/fortinet_FortiMail_sol_guide.pdf

Documento creado por José Fernando Ruiz Gómez Consultor de Ingeniería Preventa JR