Documento Descriptivo FortiAnalyzer V2

Ki0m3dk$-8
Security Fabric Network Analytics

Octubre 2023 – FortiAnalyzer 7.4.1
ÍNDICE
INTRODUCCIÓN 4
Funcionalidades Principales 4
Detección y respuesta a incidentes 4
Gestión de Incidencias y Eventos 4
Fabric Automation 5
Análisis e informes de Security Fabric 6
Activos e identidad 6
Monitorización en tiempo real 7
Logs Fetching 9
Posibilidades de despliegue 9
Alta disponibilidad de FortiAnalyzer (HA) 10
Multi-Tenancy con gestión flexible de cuotas 11
Modos collector del Analyzer 11
FortiAnalyzer Fabric 11
Reenvío de logs para integración de terceros 12
Infraestructura de despliegue 12
Cloud 12
FortiAnalyzer Cloud 12
VM 12
VM Subscription 12
FortiAnalyzer VM 13
Appliance 14
Especificaciones de los Appliance 14
Big Data 16
Capacidades 17
Alto rendimiento 17
Administración unificada de dispositivos 17
Implementación confiable y escalable 17
Análisis de seguridad de Big Data 17
Detección y respuesta rápida a incidentes 18
Infraestructura de despliegue 18
Appliance 18
Despliegue VM 19
FortiSOC 20
SOCaaS 22
IOCs y Servicio de Detección de brotes de Malware con FortiGuard 22
Reporting y compliance 23
Ejemplo de caso de uso de cumplimiento / informes 25
Licenciamiento 25
FortiAnalyzer Appliance 25
FortiAnalyzer Perpetual VM 25
FortiAnalyzer VM Subscription 26
FortiAnalyzer Cloud 27
SoCaaS 28
IOCs y Detección de brotes 28
OT 28
Security Fabric Network AnalyticsPágina 2 de 39

Mejores prácticas 28
Instalación de FortiAnalyzer 28
Continuidad de negocio 29
Mantenimiento general 29
BackUps 29
Almacenamiento seguro de password 29
Programe tareas de mantenimiento para las horas de menor actividad 30
Mantener la integridad de la base de datos 30
Reemplazar dispositivo administrado 30
Agregar dispositivo administrado 31
Reemplace el dispositivo FortiAnalyzer 31
Desmantelamiento de FortiAnalyzer 31
Diseño de ADOMs 31
Consideraciones sobre los ADOM 31
Log Management 32
Configurar una estrategia de copia de seguridad de logs 32
Configurar redundancia 32
Establecer el tamaño del disco y nivel RAID 32
Establecer la retención y el almacenamiento de logs 33
Reconstruir base de datos SQL 35
Rendimiento de reportes 35
Buenas prácticas de Seguridad 36
Prácticas recomendadas de acceso de administrador 36
Mejores prácticas sobre encriptación 36
Otras prácticas de seguridad 37

INTRODUCCIÓN
Este documento tiene como objetivo mostrar las funcionalidades de FortiAnalyzer, la
solución de administración y análisis de logs de Fortinet en su última versión disponible
7.4.1.
¿Qué es FortiAnalyzer?
FortiAnalyzer es una poderosa plataforma de administración de logs, análisis e informes

que proporciona a las organizaciones una única consola para administrar, automatizar,
orquestar y responder, lo que permite operaciones de seguridad simplificadas,
identificación proactiva y remediación de riesgos además de una visibilidad completa de
todo el panorama de ataques.
Integrado con Fortinet Security Fabric, FortiAnalyzer permite a los equipos de
operaciones de red y seguridad capacidades de detección en tiempo real, análisis de
seguridad centralizados y conciencia de postura de seguridad de extremo a extremo
para ayudar a los analistas a identificar amenazas persistentes avanzadas (APT) y
mitigar los riesgos antes de que ocurra una violación.
Funcionalidades Principales
Detección y respuesta a incidentes
Permite disponer de una visibilidad centralizada de NOC/SOC para la superficie de

ataque.
FortiAnalyzer proporciona Security Fabric Analytics en todos los logs de dispositivos con
correlación de eventos y detección en tiempo real de amenazas persistentes avanzadas
(APT), vulnerabilidades e indicadores de compromiso (IOC) para FortiGate NGFW,
FortiClient, FortiSandbox, FortiWeb, FortiMail y otros productos de Fortinet, para una
visibilidad profunda y conocimientos críticos de la red.
La orquestación simplificada y los flujos de trabajo automatizados proporcionan a los
equipos de operaciones de seguridad de red notificaciones, informes y paneles en
tiempo real para obtener visibilidad de un solo panel y resultados procesables.
Gestión de Incidencias y Eventos
Los equipos de seguridad pueden monitorear y administrar alertas y logs de eventos

desde dispositivos Fortinet, con eventos procesados y correlacionados en un formato
que los analistas pueden entender fácilmente. Se pueden realizar investigaciones de
patrones de tráfico sospechosos y buscar utilizando filtros en controladores de eventos
predefinidos o personalizados para generar notificaciones y monitoreo en tiempo real
para operaciones NOC y SOC, SD-WAN, SSL VPN, inalámbrica, Shadow IT, IPS,
reconocimiento de red, FortiClient y más.
El componente Incidentes permite a los analistas gestionar el manejo de incidentes y el
ciclo de vida, con incidentes generados por eventos que muestran activos, puntos finales,
usuarios y escalas de tiempo afectados.

Fabric Automation
Los Playbooks incluidos en FortiAnalyzer aumentan las capacidades del equipo de

seguridad de una organización para simplificar los esfuerzos de investigación a través de
la respuesta automatizada a incidentes, liberando recursos y permitiendo a los analistas
centrarse en tareas críticas. Las plantillas de playbook listas para usar permiten a los
analistas de SOC personalizar rápidamente sus casos de uso, definir procesos
personalizados, interactuar con otros dispositivos de Security Fabric como FortiOS y
EMS, editar playbooks y tareas en el editor visual de playbook y usar Playbook Monitor
para la investigación de hosts comprometidos, infecciones e incidentes críticos,
enriquecimiento de datos para vistas de activos e identidad, bloqueo de malware, IP de
C&C, y más.
Debido a que se encuentra integrado dentro de Security Fabric de Fortinet: proporciona

capacidades avanzadas de detección de amenazas, análisis de seguridad
centralizados, postura de seguridad de extremo a extremo para un control completo.
Logra operaciones simplificadas a través de capacidades unificadas de orquestación,

automatización y respuesta.
Permite a los operadores identificar y remediar riesgos de manera proactiva, al

tiempo que tienen una visibilidad completa de toda la superficie de ataque.

Análisis e informes de Security Fabric
El análisis impulsado por la automatización de FortiAnalyzer permite a los equipos de

operaciones de seguridad de red completar una evaluación rápida de los dispositivos,
sistemas y usuarios de la red, con datos de log correlacionados e inteligencia de
amenazas de FortiGuard para el análisis de eventos históricos y en tiempo real.
● Los monitores y vistas de FortiView proporcionan información profunda con el

contexto y el significado de la actividad de la red, los riesgos, las
vulnerabilidades, los intentos de ataque, los indicadores de compromiso y
anomalías, la actividad del usuario sancionada y no autorizada.
● Log View permite a los analistas ampliar su investigación y utilizar filtros de

búsqueda en logs de dispositivos administrados, profundizar en logs, con vistas
personalizadas y grupos de logs, incluida una base de datos SIEM con logs
normalizados para dispositivos Fortinet en Fabric ADOM.
● Los informes proporcionan un análisis exhaustivo de su postura de seguridad,

incluidos informes para tecnología operativa (OT), calificación de seguridad,
calificación de seguridad para PCI, SD-WAN segura, VPN, detección de anomalías
de red FortiNDR, evaluaciones de amenazas cibernéticas, revisiones de
seguridad 360, conocimiento de la situación, cumplimiento, auditoría y más.
Activos e identidad
FortiAnalyzer Fabric View con monitoreo de activos e identidad proporciona a los

equipos de SOC una mayor conciencia y visibilidad de los puntos finales y usuarios de
una organización con paneles e información correlacionada de dispositivos y UEBA,

detecciones de vulnerabilidades, etiquetado EMS y clasificaciones de activos a través de
telemetría con EMS, NAC, Fortinet Fabric Agent y una vista de panel de OT.
Monitorización en tiempo real
Fortiview dentro de FortiAnalyzer permite eliminar los puntos ciegos de la

monitorización de las infraestructuras, basándose en tres pilares:
● FortiAnalyzer simplifica la complejidad del análisis y la supervisión.

● Obtenga visibilidad de extremo a extremo, lo que le ayuda a identificar y
eliminar amenazas.
● Detecte las principales amenazas, destinos y una línea de tiempo consolidada
de incidentes a lo largo del tiempo.

Alguno de los elementos más destacables de la monitorización en tiempo real es:
Análisis de seguridad: FortiAnalyzer puede recopilar logs de un firewall FortiGate y

usar sus algoritmos de IA y ML para detectar patrones indicativos de actividad
maliciosa. Un ejemplo de esto podría ser un número inusual de intentos de inicio de
sesión desde una dirección IP específica, lo que indica un posible ataque de fuerza
bruta.
Análisis de tráfico de red: Si se experimenta un rendimiento lento de la red.

FortiAnalyzer puede analizar el tráfico de red para identificar qué usuarios,
aplicaciones o dispositivos consumen la mayor cantidad de ancho de banda. Esto
permite a los administradores de red tomar decisiones informadas, es decir, priorizar
las aplicaciones empresariales críticas.
Correlación de eventos: por ejemplo, durante intentos fallidos de inicio de sesión en

un sistema, transferencias de datos inesperadas en otro y actividades irregulares de
firewall. FortiAnalyzer puede correlacionar estos eventos para detectar una posible
amenaza persistente avanzada (APT) en el trabajo.
Análisis forense: En caso de una violación de seguridad, FortiAnalyzer puede

rastrear los eventos que condujeron a ella. Por ejemplo, puede identificar el punto de
entrada del ataque, rastrear movimientos laterales dentro de la red e identificar
cualquier dato que pueda haber sido comprometido. Esto ayuda en el control de daños
y la prevención de incidentes similares en el futuro.
Inteligencia de amenazas: Al aprovechar FortiGuard Threat Intelligence,

FortiAnalyzer puede buscar proactivamente amenazas conocidas. Por ejemplo, si se
identifica una nueva firma de malware a nivel mundial, FortiAnalyzer puede verificar
su red en busca de cualquier actividad que coincida con esta firma, evitando así
posibles brotes.

Logs Fetching
La recuperación de logs se utiliza para recuperar registros archivados de un

dispositivo FortiAnalyzer a otro. Esto permite a los administradores ejecutar consultas
e informes contra datos históricos, lo que puede ser útil para el análisis forense.
El fetching de FortiAnalyzer puede consultar otro servidor FortiAnalyzer y recuperar

los datos de logs para un dispositivo y período de tiempo especificados, según los
filtros especificados. Los datos recuperados se indexan y se pueden utilizar para el
análisis de datos y los informes. (Ver buenas prácticas)
La recuperación de logs solo se puede realizar en dos dispositivos FortiAnalyzer que

ejecuten el mismo firmware. Un dispositivo FortiAnalyzer puede ser el servidor de
búsqueda o el cliente de búsqueda, y puede realizar ambas funciones al mismo tiempo
con diferentes dispositivos FortiAnalyzer. Solo se puede establecer una sesión de
recuperación de logs a la vez entre dos dispositivos FortiAnalyzer.
Posibilidades de despliegue
FortiAnalyzer se puede implementar como un dispositivo de hardware físico, una
máquina virtual (VM) y una suscripción de máquina virtual (VM-S), así como una
instancia de nube privada o pública, con escalabilidad, redundancia y copia de
seguridad, y capacidades de alta disponibilidad.
Ver infraestructura de despliegue para más detalles.

Alta disponibilidad de FortiAnalyzer (HA)
FortiAnalyzer HA proporciona redundancia en tiempo real para proteger a las

organizaciones al garantizar la disponibilidad operativa continua. En el caso de que el
FortiAnalyzer primario (activo) falle, un FortiAnalyzer secundario (pasivo) (clúster de
hasta cuatro nodos) se hará cargo inmediatamente, proporcionando confiabilidad de
logs y datos y eliminando el riesgo de tener un solo punto de falla.
Un clúster de alta disponibilidad (HA) de FortiAnalyzer proporciona las siguientes

características:
● Proporcione redundancia en tiempo real en caso de que falle una unidad

primaria de FortiAnalyzer. Si la unidad primaria falla, se selecciona otra
unidad del clúster como unidad primaria.
● Sincronice logs y datos de forma segura entre múltiples unidades
FortiAnalyzer. Los valores de sistema y configuración aplicables a HA
también se sincronizan.
● Alivie la carga de la unidad principal mediante el uso de unidades de copia de
seguridad para procesos como la ejecución de informes.
Dicho clúster puede tener un máximo de cinco unidades: una unidad primaria con
hasta cuatro unidades de respaldo o secundarias. Todas las unidades del clúster deben
ser de la misma serie FortiAnalyzer y todas son visibles en la red.
El modo de operación debe ser el mismo: Analizador o Colector. El HA no es

compatible cuando las características de FortiManager están habilitadas.
Debido a limitaciones técnicas, la implementación actual de FortiAnalyzer HA no es

compatible con algunas infraestructuras de nube pública, como AWS (Amazon Web
Services), Microsoft Azure, Google Cloud Platform, etc. Esto es debido a que
FortiAnalyzer HA solo funciona bajo configuraciones donde se permite VRRP.
Cuando se usan dispositivos con diferentes licencias para crear un clúster de alta
disponibilidad, se usa la licencia que permite el menor número de dispositivos
administrados.

Multi-Tenancy con gestión flexible de cuotas
FortiAnalyzer proporciona la capacidad de administrar múltiples subcuentas y cada

cuenta tiene sus propios administradores y usuarios. La política de datos de
archivo/log analítico basada en el tiempo, por dominio administrativo (ADOM),
permite la administración automatizada de cuotas basada en la política definida, con
gráficos de tendencias para guiar la configuración de políticas y la supervisión del
uso.
Modos collector del Analyzer
FortiAnalyzer proporciona dos modos de operación: Analizador y Colector. En el

modo recopilador, la tarea principal es reenviar los logs de los dispositivos conectados
a un analizador y archivar los logs. Esta configuración beneficia enormemente a las
organizaciones con el aumento de las tasas de log, ya que la tarea de recepción de logs
que consume muchos recursos se descarga en el recopilador para que el analizador
pueda centrarse en generar análisis e informes.
Los equipos de operaciones de red pueden implementar múltiples FortiAnalyzers en

los modos Collector y Analyzer para trabajar juntos y mejorar el rendimiento general
de la recepción y el procesamiento de logs, mayores volúmenes de logs,
proporcionando almacenamiento y redundancia de logs, y entrega rápida de
información crítica de red y amenazas.
FortiAnalyzer Fabric
FortiAnalyzer Fabric permite a los administradores de SOC configurar dos modos de

operación: Supervisor y Miembro.
Esto permite la visualización de dispositivos de miembros, ADOM y dispositivos de
log autorizados, así como incidentes y eventos creados en miembros. Los
administradores obtienen acceso a los informes y FortiView en todos los miembros, y

pueden realizar una búsqueda global en la vista de log de los logs recopilados entre
los miembros de FortiAnalyzer Fabric con filtros de dispositivo predefinidos y
desglose de logs para cada miembro y ADOMs miembros.
Reenvío de logs para integración de terceros
Reenvíe los logs de un FortiAnalyzer a otra unidad FortiAnalyzer, un servidor syslog

o un servidor CEF. Además de reenviar los logs a otra unidad o servidor, el cliente
FortiAnalyzer conserva una copia local de los logs, que están sujetos a la
configuración de la directiva de datos para los logs archivados. Los logs se reenvían
en tiempo real o casi en tiempo real a medida que se reciben desde los dispositivos de
red.
Infraestructura de despliegue
Cloud
FortiAnalyzer Cloud
FortiAnalyzer Cloud ofrece a los clientes una opción de entrega basada en PaaS para
análisis de panel único impulsados por la automatización, proporcionando
administración de logs, análisis e informes para Fortinet NGFW y SD-WAN con una
solución basada en la nube de fácil acceso. Esta versión ofrece información confiable
en tiempo real sobre la actividad de la red con informes y monitoreo extensos para
una visibilidad clara y consistente de la postura de seguridad de una organización. Los
clientes pueden acceder fácilmente a su FortiAnalyzer Cloud desde su portal de inicio
de sesión único FortiCloud.
VM
VM Subscription
El modelo de licencia de suscripción de VM de FortiAnalyzer se consolida en un solo

SKU: SKU de producto VM, SKU de soporte de FortiCare, IOC de FortiGuard y
servicio de detección de brotes, servicios de automatización de seguridad, para
simplificar la compra de productos, actualización, y renovación.
Las FortiAnalyzer-VM S proporcionan a las organizaciones análisis centralizado de
eventos de seguridad, investigación forense, informes, archivado de contenido,
minería de datos, cuarentena de archivos maliciosos y evaluación de vulnerabilidades.
La recopilación, correlación y análisis centralizados de datos de seguridad geográfica

y cronológicamente diversos de Fortinet y dispositivos de terceros ofrecen una visión
simplificada y consolidada de su postura de seguridad.
Los SKU de la serie FortiAnalyzer-VM S vienen en licencias de logs apilables de 5,
50 y 500 GB/día, de modo que se pueden comprar varias unidades de este SKU
juntas, lo que proporciona a las organizaciones la capacidad y la rentabilidad para
escalar y satisfacer sus necesidades de log.

FortiAnalyzer VM
Fortinet ofrece la licencia FortiAnalyzer-VM en un modelo de licencia perpetua

apilable con soporte técnico a la carta y servicios de suscripción.
Esta versión basada en software del dispositivo de hardware FortiAnalyzer está
diseñada para ejecutarse en muchas plataformas de virtualización, lo que le permite
expandir su solución virtual a medida que su entorno se expande.
* GB por día ilimitados cuando se implementa en modo colector.

** La máquina virtual admite hasta 12 interfaces/puertos vNIC. Aplicable a 6.4.3+.
Los números reales de consumibles varían según las plataformas en la nube.
Cuando use máquinas virtuales, implemente lo siguiente:
● Asigne suficientes recursos de CPU y memoria a todas las máquinas virtuales

en función del número de dispositivos y las características habilitadas.
● Asegúrese de que la licencia de máquina virtual cumpla con sus requisitos de
velocidad de log diaria (GB/día) y capacidad de almacenamiento de logs.
VMWare
En esta sección ampliamos la información sobre la implementación de un dispositivo

virtual FortiAnalyzer en entornos VMware vSphere Hypervisor (ESX/ESXi) y
VMware vSphere Client.
Requerimientos mínimos
Las FortiAnalyzer-VM tiene un requisito mínimo de 4 CPU, 8 GB de RAM y 500 GB

de almacenamiento en disco, para v7.2.2 y versiones posteriores, el requisito mínimo
de RAM se incrementa a 16 GB.
En la tabla siguiente se enumeran los requisitos mínimos del sistema para el hardware
de máquina virtual, en función de la velocidad analítica sostenida de la miam.

Analytic sustained rate VM hardware requirements
(logs/sec)
RAM (GB) CPU cores IOPS
3000 16 4 300
4000 16 4 400
5000 16 4 500
6000 16 8 600
7000 16 8 700
8000 16 8 800
9000 16 8 900
10000 16 8 1000
20000 32 16 2000
30000 32 16 3000
40000 64 32 4000
50000 64 32 5000
Se puede calcular la tasa sostenida del collector multiplicando la tasa sostenida

analítica por 1,5.
Esta tabla no tiene en cuenta otras especificaciones de hardware, como la velocidad

del bus, el modelo de CPU o el tipo de almacenamiento.
Appliance
Fortianalyzer puede ser desplegado en modo appliance, teniendo en cuenta para

dimensionar el hardware, la capacidad de ingesta de logs diarios y los dispositivos que
van a conectarse.
Especificaciones de los Appliance

* Tasa sostenida: velocidad máxima de mensajes de log constante que la plataforma FAZ
puede mantener durante un mínimo de 48 horas sin degradación del rendimiento de la
base de datos SQL y del sistema.
** El número máximo de días si se reciben logs continuamente a la tasa de log de análisis
sostenida. Este número puede aumentar si la tasa logarítmica promedio es menor.
Gen2 se refiere al hardware que se ha actualizado desde la versión inicial.
Big Data
FortiAnalyzer Big Data ofrece análisis de red de big data de alto rendimiento para
redes grandes y complejas. Está diseñado para centros de datos a gran escala e
implementaciones de gran ancho de banda, ofreciendo la protección contra amenazas
cibernéticas más avanzada mediante el empleo de la ingesta de datos a hiperescala y

el procesamiento acelerado de datos paralelos. Junto con su nueva arquitectura de
software y hardware distribuido y los firewalls de próxima generación de alto
rendimiento de Fortinet, este potente chasis 4RU ofrece un rendimiento
increíblemente rápido, resistencia de datos de nivel empresarial, escalabilidad
horizontal incorporada y administración consolidada de dispositivos.
FortiAnalyzer Big Data es compatible con todas las características y tecnologías de la

familia FortiAnalyzer. FortiAnalyzer Big Data también proporciona escalabilidad
adicional y rendimiento de alta velocidad utilizando nuevos procesos masivos de
procesamiento de datos paralelos y Columnar Data Store. Después de la ingesta de
datos, FortiAnalyzer Big Data proporciona una interfaz de usuario front-end fácil de
usar que interactúa con el motor SQL de big data distribuido para buscar, consultar y
agregar los datos.
Capacidades
Alto rendimiento
o Arquitectura totalmente rediseñada y optimizada, empleando

o las últimas tecnologías Big Data Kafka/ Hadoop/ Spark
o Transmisión masiva de eventos paralelos y procesamiento de datos para
o Capacidad de búsqueda, almacenamiento de datos y ingesta de alta velocidad
o El dispositivo FortiAnalyzer de mayor rendimiento:
o 300 000 logs/seg listos para usar, escalables horizontalmente a Petabytes de
almacenamiento.
Administración unificada de dispositivos
o Dispositivo de Big Data de nivel empresarial con supervisión de hardware y

software a través del clúster Manager.
o Instalación, actualización, expansión y datos sencillos de administración.
o Automatización integrada y plantillas de trabajo personalizables.
Implementación confiable y escalable
o Alta disponibilidad empresarial integrada y resiliencia de datos basado en un

software y arquitectura de hardware recientemente optimizados.
o Diseñado para una rápida escalabilidad con múltiples appliances de Big Data
o que utilizan un módulo de switch integrado de alta velocidad de 40 Gb/s.
o Específicamente diseñado para acelerar la visibilidad y expansión de Fortinet
Security Fabric.
Análisis de seguridad de Big Data

o Supervise y analice toda su red de extremo a extremo a un ritmo acelerado,
maximizando la visibilidad de toda su superficie de ataque, tráfico de red,
aplicaciones, usuarios y hosts de punto final.
o Paneles interactivos e informes utilizando seguimiento en tiempo real de
métricas de seguridad clave, link healths y performance de aplicaciones.
o Plantillas de informes listas para usar y personalizables para Cumplimiento,
evaluaciones de la postura de seguridad y comprobaciones de rendimiento del
sistema.
o Usar el análisis de logs para consultar mensajes de log IPFIX cuando la
ingestión está configurada en modo Flow.
Detección y respuesta rápida a incidentes
o Flujo de trabajo intuitivo de eventos e incidentes para que los equipos SOC
que pueden así concentrarse en las alertas críticas.
o El motor de correlación integrado automatiza y agrupa alertas para eliminar
falsos positivos.
o Conectores listos para usar y amplio catálogo de APIs para automatizar tareas
repetitivas.
Infraestructura de despliegue
Appliance
Alguno de los Highlights del appliance de FortiAnalyzer para Big Data incluyen
rendimientos y capacidades para entornos Large Enterprises y Service Providers.

Si vemos más en detalle el FortiAnalyzer Bigdata 4500F
o Chasis de 14 módulos diseñado específicamente para datos de hyperscale

o Arquitectura distribuida con escalabilidad horizontal (velocidades de log,
almacenamiento, etc.)
o Procesamiento masivo de datos paralelos con 300.000 EPS listos para usar
o Alta disponibilidad y redundancia de datos integradas.
o Listo para Elastic Search.
o Suscripción de 12 meses.
o Incorporación automática en FortiCare.

o Cola de soporte separada para conectarse con especialistas.
o Guía de prácticas recomendadas, configuraciones de ejemplo, cuadernos de
estrategias examinados y scripts de ejemplo.
o Consejos prácticos sobre el uso de características comunes, herramientas
relevantes y código de ejemplo.
o Modelos probados para la integración con productos de 3 º, incluidas las
recomendaciones de configuración del conector.
Despliegue VM
Fortinet ofrece FortiAnalyzer Big Data en un modelo de licencia virtual apilable, con
servicios a la carta disponibles para FortiCare 24x7 licencias de soporte y suscripción
para el indicador de compromiso (IOC) de FortiGuard, el componente SOC de
FortiAnalyzer, y Servicio de detección de brotes FortiGuard.
Esta versión basada en software del dispositivo de hardware FortiAnalyzer Big Data
está diseñada para ejecutarse en muchas virtualizaciones, que le permite ampliar su
solución virtual a medida que crece su entorno.

FortiSOC
FortiSoC es un servicio de suscripción que permite la automatización de playbooks
para operaciones de seguridad en FortiAnalyzer.
Las capacidades SIEM de FortiAnalyzer analizan, normalizan y correlacionan los
eventos de los dispositivos Fortinet y los eventos de seguridad de los endpoints
Windows y Linux (con Fabric Agent).
El análisis está predefinido por FortiAnalyzer y no requiere configuración manual por

parte de los administradores. Los registros SIEM se muestran como registros de
Fabric en la vista de registros y pueden utilizarse para informes.
FortiSoC proporciona capacidades de gestión de incidentes con la automatización de

playbooks para acelerar la respuesta. Esta funcionalidad requiere de licencia
adicional. La automatización de tareas puede ser configurada por los analistas del
SOC utilizando playbooks que consisten en un disparador y una secuencia de acciones
automatizadas. Los playbooks se pueden crear desde cero o utilizando una de las
plantillas predefinidas. Los conectores Fabric mejoran aún más la funcionalidad de
FortiSoC al permitir que los playbooks realicen tareas utilizando dispositivos
conectados, incluyendo FortiOS y FortiClient EMS.
FortiSoC incluye varios dashboards para ver información sobre playbooks, incidentes
y eventos.

SOCaaS
SOCaaS es una oferta de servicios de seguridad gestionada basada en la nube,

mientras que los analistas de SOC de Fortinet monitorean la red del cliente en busca
de eventos de seguridad y amenazas y escalar de nuevo al cliente cuando se detectan.
¿Qué incluye SOCaaS?
o Monitoreo 7x24x365 de eventos de seguridad y estado del dispositivo para

FortiGate

o Detección, investigación y escalamiento de incidentes
o Revisión de control preventivo y recomendación de ajuste
o Informes semanales/mensuales y revisión trimestral de riesgos
o Asistencia remota a través de chat en línea, correo electrónico y teléfono
o Acceso al Portal SOCaaS
IOCs y Servicio de Detección de brotes de Malware con

FortiGuard
El Servicio de Detección de Brechas FortiGuard, proporciona a los clientes
paquetes de contenido creados en tiempo real, para proteger sus redes contra
Nuevos brotes de malware. El paquete contiene informes, plantillas de informes
y controladores de eventos para controlar los últimos brotes de malware identificados
por la Inteligencia Global de Amenazas de Fortinet.
A tener en cuenta:
o El Servicio de Detección de Brotes FortiGuard está incluido con el

FortiAnalyzer Enterprise Protection bundle y está disponible a la carta para
modelos de hardware elegibles.
o El Servicio de Detección de Brotes FortiGuard está disponible a la carta para
Máquina virtual perpetua de FortiAnalyzer.
o El servicio de detección de brotes FortiGuard está incluido con FortiAnalyzer
Suscripción a VM.

Reporting y compliance
Fortianalyzer dispone de una gran cantidad de reportes predefinidos listos para usar.
Puede generar informes de datos a partir de logs mediante la característica Informes:
o Utilice informes predefinidos. Las plantillas de informe, gráficos y macros

predefinidos están disponibles para ayudarle a crear nuevos informes.
o Crear informes personalizados.
o Los archivos de informe se almacenan en el espacio reservado para el
FortiAnalyzer.
Los reportes pueden ser generados en distintos idiomas en función de la necesidad:

FortiAnalyzer viene con paneles e informes integrados fácilmente personalizados.
FortiAnalyzer incluye más de 800 conjuntos de datos para permitir una fácil
incorporación a informes y paneles.
Estos incluyen consultas avanzadas que están optimizadas para tiempos de respuesta
rápidos en tiempo real.
Las organizaciones también requieren informes personalizables y herramientas que
ayuden a demostrar el cumplimiento a los auditores.
El soporte de informes de cumplimiento de Fortinet a través de FortiAnalyzer incluye
informes prediseñados para estándares como el Estándar de Seguridad de Datos de la
Industria de Tarjetas de Pago (PCI DSS), Informe de Actividades Sospechosas (SAR),
Centro para la Seguridad de Internet (CIS).
FortiAnalyzer también proporciona registro de auditoría y control de acceso basado
en roles (RBAC) para garantizar que los empleados solo puedan acceder a la
información que necesitan para realizar sus tareas.
Ejemplo de caso de uso de cumplimiento / informes

Análisis de cumplimiento: Si, por ejemplo, se necesita demostrar el cumplimiento de
GDPR. FortiAnalyzer puede rastrear e informar sobre actividades de manejo de datos,
logs de consentimiento del usuario, logs de transferencia de datos y más.
Genera informes completos que se pueden presentar directamente durante las
auditorías de cumplimiento:
o Desencadenante: Es fin de mes y se debe presentar un informe de

cumplimiento.
o Acción: FortiAnalyzer genera automáticamente un informe de cumplimiento
que detalla las actividades del usuario, los incidentes de seguridad, los
cambios de configuración y más en función de los parámetros de informes
preestablecidos.
o Resultado: El informe de cumplimiento se envía por correo electrónico a las
partes interesadas necesarias, demostrando el cumplimiento de regulaciones
como GDPR, HIPAA o PCI-DSS sin intervención manual.
Licenciamiento
FortiAnalyzer proporciona registro e informes centrales, análisis avanzados y

automatización de seguridad para una rápida detección y respuesta contra las
amenazas cibernéticas.
La oferta de productos incluye:
FortiAnalyzer Appliance
La solución local proporciona los mejores tiempos de respuesta y tecnología de

detección con toda la gama de características y beneficios, como en otros productos
de Fortinet, consultar la gama de appliances y modelos físicos disponibles en el
datasheet actualizado:
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortianalyzer.pdf
FortiAnalyzer Perpetual VM
Oferta de dispositivo virtual compatible con nubes públicas y privadas.
Modelo de licencia perpetua con soporte a la carta y servicios disponibles para su

compra.
● SKU de máquina virtual de FortiAnalyzer en función de la cantidad de GB /
día de registros para ingerir por día.
● Seleccionar el soporte y los servicios "a la carta" que coincidan con el nivel de
GB / Día de registros.

FortiAnalyzer VM Subscription
Oferta basada en suscripción del modelo VM, que agrupa soporte y servicios.
El modelo de licencia de suscripción de VM de FortiAnalyzer se consolida en un solo

SKU: SKU de producto VM, SKU de soporte de FortiCare, IOC de FortiGuard y
servicio de detección de brotes, servicios de automatización de seguridad, para
simplificar la compra de productos, actualización, y renovación.
FortiAnalyzer-VM S proporciona a las organizaciones análisis centralizado de eventos

de seguridad, investigación forense, informes, archivado de contenido, minería de
datos, cuarentena de archivos maliciosos y evaluación de vulnerabilidades. La
recopilación, correlación y análisis centralizados de datos de seguridad geográfica y
cronológicamente diversos de Fortinet y dispositivos de terceros ofrecen una visión
simplificada y consolidada de su postura de seguridad.
Las SKU de la serie FortiAnalyzer-VM S vienen en licencias de logs apilables de 5,
50 y 500 GB/día, de modo que se pueden comprar varias unidades de este SKU
juntas, lo que proporciona a las organizaciones la capacidad y la rentabilidad para
escalar y satisfacer sus necesidades de log.
Al configurar FortiAnalyzer-VM, asegúrese de configurar los ajustes de hardware de

acuerdo con los requisitos mínimos del sistema y considere la expansión futura.
License GB/day of logs
Trial License 1
VM-GB1 +1
VM-GB5 +5
VM-GB25 +25
VM-GB100 +100
VM-GB500 +500
VM-GB2000 +2000
Licenciamiento en VM
Fortinet ofrece FortiAnalyzer-VM con una licencia de prueba limitada y gratuita. Se

pueden comprar licencias apilables, lo que le permite ampliar la solución de VM a
medida que se expande el entorno. Se pueden comprar licencias perpetuas o basadas
en suscripción. Las licencias perpetuas nunca caducan.

Licencia Trial
Con una cuenta FortiCare, FortiAnalyzer-VM incluye una licencia de prueba limitada
gratuita que no caduca.
La licencia de prueba gratuita incluye soporte para 3 ADOM y 1 GB/día de logs.
La licencia de prueba gratuita no incluye servicios ni soporte.
Puede activar la licencia de prueba cuando se conecta a la GUI para
FortiAnalyzer-VM. Los productos y servicios con todas las funciones están
disponibles para su compra con una licencia complementaria.
Licencia Add-on
Se debe activar una licencia de prueba antes de poder actualizar FortiAnalyzer-VM a

una licencia complementaria comprada.
FortiAnalyzer Cloud
Suscripción a la central de registro y análisis basado en la nube.
Los requisitos de licencia se aplican cuando inicia sesión en el portal FortiAnalyzer

Cloud & Service.
FortiAnalyzer Cloud requiere una de las siguientes licencias:
Ejemplo de suscripción a FortiAnalyzer Cloud con SOCaaS:
FortiGate hardware FC‐10‐[FortiGate Model Code]‐464‐02‐DD

FortiGate-VM FC‐10‐[FortiGate VM Model Code]‐464‐02‐DD
Suscripción a FortiAnalyzer Cloud:
FortiGate hardware FC-10-[FortiGate Model Code]-585-02-DD

FortiGate-VM FC-10-[FortiGate VM Model Code]-585-02-DD
También se puede agregar almacenamiento FortiGate adicional según sea necesario.

Se pueden combinar varios de la misma SKU.
Almacenamiento adicional:
+5 GB/day
FC1-10-AZCLD-463-01-DD
+50 GB/day
+500 GB/day

La compra de cualquiera de las licencias de almacenamiento adicional anteriores (por
ejemplo, FC1-10-AZCLD-463-01-DD) también permite a FortiAnalyzer Cloud recibir
registros de FortiClient y FortiMail, además de ampliar la cantidad de registros que
puede almacenar de FortiGates.
Los registros de dispositivos que no son FortiGate, como FortiClient y FortiMail,
requieren licencias adicionales.
SoCaaS
FortiAnalyzer Cloud con SOCaaS se puede comprar para los modelos FortiGate
compatibles. Cada FortiGate que requiera el servicio de SoCaaS requiere una licencia.
IOCs y Detección de brotes
El licenciamiento para los IOCs y el servicio de detección de brotes de malware son

apilables y están relacionados con la cantidad de Gb/día de logs solicitados.
OT
A partir de la versión 7.4, FortiAnalyzer agrega dos nuevos SKU para la parte de OT:
o Un SKU para el "Servicio de seguridad de OT que incluye análisis avanzados

de OT, informes de riesgo y cumplimiento, controladores de eventos y reglas
de correlación de casos de uso" este SKU desbloquea todas las características
de OT, como informes de seguridad de OT y controladores de eventos.
o Y otro SKU para el "Servicio de calificación y cumplimiento de seguridad de

FortiAnalyzer". En este caso se desbloquean los informes de cumplimiento
recientemente disponibles (PCI, CIS) y Shadow-IT.
Mejores prácticas
Instalación de FortiAnalyzer
Planifique su instalación cuidadosamente y seleccione los modelos de FortiAnalyzer

que cumplan con sus requisitos.
● Planifique el tamaño de su instalación adecuadamente. Asegúrese de planificar
los futuros requisitos de administración y log, incluida la consideración de:
1. El número de dispositivos conectados.
2. Si corresponde, tasas de log y períodos de retención analítica y de
archivo.
● Asegúrese de tener acceso a la consola serie remota o a la consola virtual.
● Asegúrese de que un servidor TFTP local esté disponible en una red local para
FortiAnalyzer.

Continuidad de negocio
● Configure y use la alta disponibilidad (HA).

● Asegúrese de que no haya interrupciones de energía. Una pérdida de energía
podría causar la pérdida de integridad de la base de datos de un dispositivo
FortiAnalyzer
1. Siempre apague o reinicie FortiAnalyzer correctamente. Eliminar la
energía sin un apagado correcto podría dañar las bases de datos
FortiAnalyzer.
2. Asegúrese de que el entorno FortiAnalyzer tenga una fuente de
alimentación estable e ininterrumpida.
● Si se produce una pérdida de energía inesperada, vuelva a una copia de
seguridad válida conocida de la configuración.
● Asegúrese de que haya piezas de repuesto en el sitio, como ventiladores,
fuentes de alimentación y unidades de disco duro.
Mantenimiento general
BackUps
● Realice copias de seguridad periódicas para asegurarse de tener una copia

reciente de su configuración de FortiAnalyzer.
● Compruebe la copia de seguridad comparando la suma de comprobación de la
entrada de log con la del archivo de copia de seguridad.
● Establezca una programación de copia de seguridad para tener siempre una
copia de seguridad reciente de la configuración.
● Consulte la Guía de administración de FortiAnalyzer.
● Si su FortiAnalyzer es una máquina virtual, también puede usar instantáneas
de VM
Si utiliza ADOM, un gran número de ADOM puede aumentar significativamente el

tamaño de los archivos de configuración, lo que aumenta el tiempo de copia de
seguridad y restauración.
Almacenamiento seguro de password
Las contraseñas, así como las claves privadas utilizadas en los certificados, se cifran
mediante una clave privada predefinida cuando se almacenan en FortiAnalyzer y
codificado cuando se muestra en la CLI y el archivo de configuración. Esto garantiza
que la contraseña no pueda se descifrará a menos que se conozca la clave privada y la
contraseña no se muestre en texto claro en ninguna parte.

Para mejorar la seguridad de su contraseña, debe especificar su propia clave privada
para el proceso de cifrado. Esto asegura que su clave es única y conocida solo por
usted. La clave también es necesaria en otros FortiAnalyzers para restaurar el sistema
desde un archivo de configuración. En los clústeres de alta disponibilidad, se debe
utilizar la misma clave en todas las unidades.
Para habilitar tu propia clave privada de encriptación, este es un ejemplo usando

0123456789abcdef0123456789abcdef.
config system global set private-data-encryption enable end Please type your private
data encryption key (32 hexadecimal numbers):
0123456789abcdef0123456789abcdef Please re-enter your private data encryption
key (32 hexadecimal numbers) again: 0123456789abcdef0123456789abcdef Your
private data encryption key is accepted.
Programe tareas de mantenimiento para las horas de menor actividad
Fortinet recomienda programar tareas de mantenimiento para las horas de menor

actividad siempre que sea posible, incluidas tareas como:
● Copia de seguridad de la configuración.
● Eliminación de logs.
● Log continuo y carga de logs relacionada.
Para dispositivos FortiAnalyzer en modo collector, agregación de logs. Programe esta
tarea después del rolling diario de logs para que Analyzer tenga los últimos logs de
ese día.
Mantener la integridad de la base de datos
Para mantener la integridad de la base de datos, nunca apague una unidad

FortiAnalyzer sin un apagado correcto. Quitar la corriente sin un apagado adecuado
puede dañar las bases de datos de FortiAnalyzer.
Utilice siempre el siguiente comando de CLI para apagar el dispositivo antes de quitar
la alimentación:
Execute shutdown
Fortinet recomienda encarecidamente conectar las unidades FortiAnalyzer a una

fuente de alimentación ininterrumpida (UPS) para evitar problemas de energía
inesperados que podrían dañar las bases de datos internas.
Reemplazar dispositivo administrado
Cuando necesite reemplazar un dispositivo FortiGate independiente o un miembro del

clúster, la mejor práctica es agregar el nuevo dispositivo como nuevo miembro para
preservar los logs existentes. Considere agregar los dispositivos FortiGate antiguos y
nuevos a un grupo para fines de presentación de informes.

Agregar dispositivo administrado
Cuando Security Fabric está habilitado en FortiGate, FortiAnalyzer requiere el uso de

una cuenta de administrador en FortiGate para obtener información relacionada con
Security Fabric.
Fortinet recomienda usar una cuenta de administrador de Super_User dedicada en

FortiGate para el acceso a FortiAnalyzer.
Esto garantiza que los mensajes de log asociados se identifiquen como originarios de
la actividad de FortiAnalyzer. Esta cuenta dedicada de Super_User solo necesita
acceso de lectura a la configuración del sistema; todos los demás accesos se pueden
establecer en None.
Reemplace el dispositivo FortiAnalyzer
Cuando necesite mover logs a un nuevo dispositivo FortiAnalyzer, utilice uno de los
siguientes métodos:
● Utilice el reenvío de logs en modo de agregación
● Utilice la búsqueda de logs (Fetcher Management).
Desmantelamiento de FortiAnalyzer
FortiAnalyzer es un componente necesario en una solución de Security Fabric.

Al retirar un FortiAnalyzer incluido en un Security Fabric, el Security Fabric debe
estar deshabilitado en los FortiGates conectados si ya no hay un FortiAnalyzer
presente.
Diseño de ADOMs
Habilite los ADOM para admitir logs que no sean logs de FortiGate (incluidos Syslog
y FortiClient EMS). No es necesario separar los ADOM por versiones de FortiOS.
Si los dispositivos tienen una combinación de velocidades de logs de alto volumen y

bajo volumen, coloque los dispositivos de alto volumen de logs en un ADOM y los
dispositivos de velocidad de log de bajo volumen en otro ADOM. Esto ayuda a evitar
que la aplicación de cuotas afecte negativamente a los dispositivos de log de bajo
volumen. Para conocer las prácticas recomendadas sobre cómo establecer cuotas para
ADOM.
Consideraciones sobre los ADOM
Un gran número de ADOM puede aumentar significativamente el tamaño de los

archivos de configuración, lo que aumenta el tiempo de copia de seguridad y
restauración. No cree más ADOM de los que su negocio necesita.
Tenga en cuenta lo siguiente al crear ADOM:

● El número máximo de ADOM que se pueden crear depende del modelo
FortiAnalyzer. Para obtener más información, consulta el datasheet de
FortiAnalyzer en
https://www.fortinet.com/products/management/fortianalyzer.html.
● Cuando se haya superado el número máximo de ADOM, se emitirá una alerta
en la consola de mensajes de alerta en Configuración del sistema > Dashboard.
● Debe utilizar una cuenta de administrador que tenga asignado el perfil
administrativo Super_User.
● Puede agregar un dispositivo a un solo ADOM. No puede agregar un
dispositivo a varios ADOM.
● No puede agregar dispositivos FortiGate y FortiCarrier al mismo ADOM.
● Puede agregar uno o más VDOM desde un dispositivo FortiGate a un ADOM.
Si desea agregar VDOM individuales desde un dispositivo FortiGate a
diferentes ADOM, primero debe habilitar el modo de dispositivo avanzado.
Log Management
Establezca una estrategia de administración de logs que ofrezca un buen equilibrio

entre redundancia y rendimiento. Conserve los logs lo suficiente para los requisitos
empresariales y archive los logs más antiguos para obtener un mejor rendimiento.
Configurar una estrategia de copia de seguridad de logs
Configure una estrategia de copia de seguridad para los logs.

Configure una programación para hacer el roll y upload de logs. Puede usar la GUI o
CLI para configurar esto.
También puede realizar copias de seguridad de los logs mediante el comando execute
backup logs.
Configurar redundancia
Para la redundancia de almacenamiento de logs, puede configurarla en el nivel de

disco seleccionando un nivel RAID adecuado.
Para la redundancia de entrega de logs, puede configurarla de las siguientes maneras:

● Configure FortiGates para enviar logs a múltiples dispositivos, siempre que
los modelos FortiGate admitan esta función.
● Utilice un enfoque jerárquico en el diseño de la red, que incluya el uso de
dispositivos FortiAnalyzer en modo Collector y uno o más dispositivos
FortiAnalyzer en modo Analyzer.
Establecer el tamaño del disco y nivel RAID
Fortinet recomienda utilizar el nivel RAID predeterminado especificado en el

datasheet de FortiAnalyzer, es decir, RAID 50.
Si la configuración no cumple los requisitos de RAID 50, considere la posibilidad de
actualizar el hardware.

Al planear los requisitos de espacio en disco, tenga en cuenta las necesidades futuras
de almacenamiento. Agregar discos a una matriz RAID existente requiere reconstruir
la matriz RAID y restaurar los logs respaldados.
El espacio en disco disponible para establecer cuotas de log depende del nivel RAID y
del espacio reservado para archivos temporales.
Los archivos temporales son necesarios para la indexación, la generación de informes
y la administración de archivos. En la planificación, incluya tanto el espacio en disco
para los logs originales que recibe FortiAnalyzer (Archive) y el espacio necesario para
indexar los logs (Analytics).
Fortinet recomienda usar la proporción predeterminada de Analytics : Archive para la
mayoría de las implementaciones. Si planea conservar logs de archivado
durante un período mucho más largo que los datos analíticos, puede asignar un
porcentaje más alto a Archive.
Si necesita más espacio en disco para una máquina virtual, puede agregar un disco
virtual. También puede aumentar el tamaño de un disco virtual existente. No se
requiere formato.
Utilice el comando execute lvm extend para agregar o extender discos virtuales.
Establecer la retención y el almacenamiento de logs
Determinar los logs necesarios para cumplir con los requisitos empresariales
Considere cuidadosamente qué tipos de logs almacenar en FortiAnalyzer. En algunos

casos, puede ser más selectivo sobre el tipo y el volumen de logs enviados desde
FortiGate a FortiAnalyzer. La reducción del tipo y el volumen de logs le da a
FortiAnalyzer más recursos para procesar los logs que satisfacen sus necesidades de
almacenamiento de logs, análisis forenses e informes.
Asignar cuota y establecer una directiva de retención de logs
Asegúrese de que la configuración de cuota sea suficiente para cumplir la directiva de

retención de logs. Debe mantener suficientes datos de log para cumplir con los
requisitos de informes de su organización. Configure las opciones de cuota y la
directiva de retención de logs para asegurarse de que hay tiempo suficiente para
generar todos los informes programados.
Log View > Storage Statistics muestra gráficos con tendencias para ayudarle con esta
planificación.

Si utiliza ADOM, asegúrese de que la cuota sea suficiente para cada ADOM. La
asignación de una cuota insuficiente a un ADOM puede causar los siguientes
problemas:
● Impedir que cumpla su objetivo de retención de logs.

● Desperdicie recursos de CPU haciendo cumplir las cuotas con la eliminación
de logs y los recortes de bases de datos.
● Afectar negativamente a la presentación de informes cuando el cumplimiento
de las cuotas actúa sobre los datos analíticos antes de que se complete un
informe.
Para el análisis, asegúrese de que la cuota sea suficiente y que el período de retención
sea lo suficientemente largo como para completar todos los informes programados.
Cuando se generan informes y el período de retención de logs ha pasado, no es
necesario conservar los datos analíticos, ya que se pueden volver a generar a partir de
los datos de log archivados originales.
Se recomienda que los datos de archivo se conserven durante un período más largo
que los datos de log analítico. Los datos de archivado son necesarios para regenerar
datos analíticos en caso de una reconstrucción, como puede ocurrir automáticamente
durante la actualización del firmware.
Ejemplo de política de retención de log

Usar Fetcher Management para la recuperación de logs
Para generar un informe para un período de tiempo no cubierto por los datos
analíticos actuales:
● Utilice la recuperación de logs (Fetcher Management) para recuperar logs

archivados y generar informes.
● Importe datos de logs desde una copia de seguridad externa para generar
informes.
La obtención de logs (logs fetching) simplifica la generación de informes a partir de

datos de logs por los siguientes motivos:
● La obtención de logs le permite especificar los dispositivos y los períodos de

tiempo que se van a indexar.
● Puede extraer logs indizados en un ADOM con una configuración de retención
de logs y cuotas configurada específicamente para generar informes sobre logs
más antiguos.
La recuperación de logs ayuda a evitar las duplicaciones que pueden producirse al

importar datos desde una copia de seguridad externa.
Reconstruir base de datos SQL
Algunas actualizaciones de firmware pueden cambiar el esquema SQL que indexa los
logs (análisis). Si es así, FortiAnalyzer reconstruye automáticamente la base de datos
SQL. Durante la reconstrucción, las funciones de búsqueda e informes son limitadas.
Rara vez es necesario reconstruir manualmente una base de datos SQL. Si cree que
puede haber problemas con la base de datos SQL, póngase en contacto con atención al
cliente y soporte técnico antes de considerar una reconstrucción manual.
Puede considerar la posibilidad de volver a generar la base de datos SQL en las

siguientes situaciones:
● Después de mover un dispositivo a un nuevo ADOM, es posible que deba

volver a generar la base de datos SQL en el nuevo ADOM.
● Si el espacio en disco se está agotando, puede volver a generar la base de datos
SQL para intentar liberar espacio en disco.
Rendimiento de reportes
Para los informes que ejecuta regularmente, configure lo siguiente:
● Ponga esos informes en un grupo.

● Programe esos informes. Si es posible, programe informes para que se
ejecuten fuera de las horas pico y no programe informes para que se ejecuten
al mismo tiempo que las tareas de mantenimiento de logs.
● Habilite la caché automática para esos informes.

La agrupación de informes tiene estas ventajas:
● Reduzca el número de tablas cache.

● Mejore el tiempo de finalización de la memoria caché automática.
● Mejore el rendimiento de los informes y reduzca el tiempo de finalización de
los informes.
Considere la posibilidad de agrupar los informes en estas condiciones:
● Si utiliza la misma plantilla de informe o una similar para diferentes

FortiGates en el mismo ADOM.
● Si utiliza regularmente diferentes filtros en sus informes.
Otras formas de mejorar el rendimiento de los informes incluyen:
● Evite ejecutar informes al mismo tiempo que la agregación o transferencia de

logs.
● Evite las consultas a fuentes externas como DNS (para la resolución de
nombres) o LDAP (para obtener una lista de usuarios).
Buenas prácticas de Seguridad
Prácticas recomendadas de acceso de administrador
● Habilite la directiva de contraseñas y establezca requisitos para la contraseña

de administrador. La directiva de contraseñas le permite especificar la longitud
mínima de la contraseña del administrador, el tipo de caracteres que debe
contener y el número de días para caducidad de la contraseña.
● Utilice los comandos de la CLI para configurar el bloqueo de contraseña del
administrador y los intentos de reintento.
Por ejemplo, para establecer la duración del bloqueo en dos intentos y establecer una
duración de dos minutos antes de que el administrador pueda volver a iniciar sesión,
escriba los siguientes comandos de CLI:
config system global

set admin-lockout-threshold 2
set admin-lockout-duration 120
end
● Establezca un tiempo de espera de inactividad más bajo para que se cierre la

sesión de las estaciones de trabajo desatendidas.
● Utilice la autenticación multifactor y la autenticación RADIUS para los
administradores.
● Limitar el acceso de administrador. Por ejemplo, configure hosts de confianza
y allowaccess.

Mejores prácticas sobre encriptación
Establezca un nivel de cifrado sólido. Use la versión del protocolo SSL (versión TLS)
que cumpla con PCI o los requisitos de seguridad de su organización. Por ejemplo:
config system global

set enc-algorithm high
set fgfm-ssl-protocol tlsv1.2
set oftp-ssl-protocol tlsv1.2
set ssl-protocol tlsv1.2
set webservice-proto tlsv1.2
set ssl-low-encryption disable
end
config fmupdate fds-setting

set fds-ssl-protocol tlsv1.2
end
La configuración del enc-algorithm le permite especificar los niveles de seguridad

para los conjuntos de cifrado.
● set enc-algorithm low utiliza todos los cifrados OpenSSL.

● set enc-algorithm medium utiliza cifrados OpenSSL altos y medios.
● set enc-algorithm high (predeterminado) utiliza sólo cifrados OpenSSL altos
Otras prácticas de seguridad
● Deshabilite las interfaces no utilizadas.

● Actualice el firmware a la versión más reciente.
● Instale dispositivos físicos en un área restringida.
● Coloque FortiAnalyzer detrás de un firewall, como FortiGate, para limitar los
intentos de acceso al dispositivo FortiAnalyzer
● Configura el NTP. Por ejemplo:
config system ntp

set status enable
set sync_interval 60
config ntpserver
edit 1
set server {<address_ipv4> | <fqdn_str>}
end
end
end
● Para fines de auditoría:

o Utilice cuentas con nombre siempre que sea posible.
o Enviar logs a un destino de logs central.


Documento Descriptivo FortiAnalyzer V2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documento Descriptivo FortiAnalyzer V2

Cargado por

Copyright:

Formatos disponibles

Ki0m3dk$-8

Security Fabric Network Analytics

Security Fabric Network AnalyticsPágina 2 de 39

Security Fabric Network AnalyticsPágina 3 de 39

FortiAnalyzer es una poderosa plataforma de administración de logs, análisis e informes

Permite disponer de una visibilidad centralizada de NOC/SOC para la superficie de

Gestión de Incidencias y Eventos

Los equipos de seguridad pueden monitorear y administrar alertas y logs de eventos

Security Fabric Network AnalyticsPágina 4 de 39

Los Playbooks incluidos en FortiAnalyzer aumentan las capacidades del equipo de

Debido a que se encuentra integrado dentro de Security Fabric de Fortinet: proporciona

Logra operaciones simplificadas a través de capacidades unificadas de orquestación,

Permite a los operadores identificar y remediar riesgos de manera proactiva, al

Security Fabric Network AnalyticsPágina 5 de 39

El análisis impulsado por la automatización de FortiAnalyzer permite a los equipos de

● Los monitores y vistas de FortiView proporcionan información profunda con el

● Log View permite a los analistas ampliar su investigación y utilizar filtros de

● Los informes proporcionan un análisis exhaustivo de su postura de seguridad,

FortiAnalyzer Fabric View con monitoreo de activos e identidad proporciona a los

Security Fabric Network AnalyticsPágina 6 de 39

Monitorización en tiempo real

Fortiview dentro de FortiAnalyzer permite eliminar los puntos ciegos de la

● FortiAnalyzer simplifica la complejidad del análisis y la supervisión.

Security Fabric Network AnalyticsPágina 7 de 39

Análisis de seguridad: FortiAnalyzer puede recopilar logs de un firewall FortiGate y

Análisis de tráfico de red: Si se experimenta un rendimiento lento de la red.

Correlación de eventos: por ejemplo, durante intentos fallidos de inicio de sesión en

Análisis forense: En caso de una violación de seguridad, FortiAnalyzer puede

Inteligencia de amenazas: Al aprovechar FortiGuard Threat Intelligence,

Security Fabric Network AnalyticsPágina 8 de 39

La recuperación de logs se utiliza para recuperar registros archivados de un

El fetching de FortiAnalyzer puede consultar otro servidor FortiAnalyzer y recuperar

La recuperación de logs solo se puede realizar en dos dispositivos FortiAnalyzer que

Ver infraestructura de despliegue para más detalles.

Security Fabric Network AnalyticsPágina 9 de 39

FortiAnalyzer HA proporciona redundancia en tiempo real para proteger a las

Un clúster de alta disponibilidad (HA) de FortiAnalyzer proporciona las siguientes

● Proporcione redundancia en tiempo real en caso de que falle una unidad

El modo de operación debe ser el mismo: Analizador o Colector. El HA no es

Debido a limitaciones técnicas, la implementación actual de FortiAnalyzer HA no es

Security Fabric Network AnalyticsPágina 10 de 39

FortiAnalyzer proporciona la capacidad de administrar múltiples subcuentas y cada

Modos collector del Analyzer

FortiAnalyzer proporciona dos modos de operación: Analizador y Colector. En el

Los equipos de operaciones de red pueden implementar múltiples FortiAnalyzers en

FortiAnalyzer Fabric permite a los administradores de SOC configurar dos modos de

Security Fabric Network AnalyticsPágina 11 de 39

Reenvío de logs para integración de terceros

Reenvíe los logs de un FortiAnalyzer a otra unidad FortiAnalyzer, un servidor syslog

El modelo de licencia de suscripción de VM de FortiAnalyzer se consolida en un solo

La recopilación, correlación y análisis centralizados de datos de seguridad geográfica

Security Fabric Network AnalyticsPágina 12 de 39

Fortinet ofrece la licencia FortiAnalyzer-VM en un modelo de licencia perpetua

* GB por día ilimitados cuando se implementa en modo colector.

Cuando use máquinas virtuales, implemente lo siguiente:

● Asigne suficientes recursos de CPU y memoria a todas las máquinas virtuales

En esta sección ampliamos la información sobre la implementación de un dispositivo

Las FortiAnalyzer-VM tiene un requisito mínimo de 4 CPU, 8 GB de RAM y 500 GB

Security Fabric Network AnalyticsPágina 13 de 39

Se puede calcular la tasa sostenida del collector multiplicando la tasa sostenida

Esta tabla no tiene en cuenta otras especificaciones de hardware, como la velocidad

Fortianalyzer puede ser desplegado en modo appliance, teniendo en cuenta para

Especificaciones de los Appliance