Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ÍNDICE
INTRODUCCIÓN 4
Funcionalidades Principales 4
Detección y respuesta a incidentes 4
Gestión de Incidencias y Eventos 4
Fabric Automation 5
Análisis e informes de Security Fabric 6
Activos e identidad 6
Monitorización en tiempo real 7
Logs Fetching 9
Posibilidades de despliegue 9
Alta disponibilidad de FortiAnalyzer (HA) 10
Multi-Tenancy con gestión flexible de cuotas 11
Modos collector del Analyzer 11
FortiAnalyzer Fabric 11
Reenvío de logs para integración de terceros 12
Infraestructura de despliegue 12
Cloud 12
FortiAnalyzer Cloud 12
VM 12
VM Subscription 12
FortiAnalyzer VM 13
Appliance 14
Especificaciones de los Appliance 14
Big Data 16
Capacidades 17
Alto rendimiento 17
Administración unificada de dispositivos 17
Implementación confiable y escalable 17
Análisis de seguridad de Big Data 17
Detección y respuesta rápida a incidentes 18
Infraestructura de despliegue 18
Appliance 18
Despliegue VM 19
FortiSOC 20
SOCaaS 22
IOCs y Servicio de Detección de brotes de Malware con FortiGuard 22
Reporting y compliance 23
Ejemplo de caso de uso de cumplimiento / informes 25
Licenciamiento 25
FortiAnalyzer Appliance 25
FortiAnalyzer Perpetual VM 25
FortiAnalyzer VM Subscription 26
FortiAnalyzer Cloud 27
SoCaaS 28
IOCs y Detección de brotes 28
OT 28
¿Qué es FortiAnalyzer?
Funcionalidades Principales
Detección y respuesta a incidentes
Activos e identidad
Posibilidades de despliegue
FortiAnalyzer se puede implementar como un dispositivo de hardware físico, una
máquina virtual (VM) y una suscripción de máquina virtual (VM-S), así como una
instancia de nube privada o pública, con escalabilidad, redundancia y copia de
seguridad, y capacidades de alta disponibilidad.
Dicho clúster puede tener un máximo de cinco unidades: una unidad primaria con
hasta cuatro unidades de respaldo o secundarias. Todas las unidades del clúster deben
ser de la misma serie FortiAnalyzer y todas son visibles en la red.
FortiAnalyzer Fabric
Infraestructura de despliegue
Cloud
FortiAnalyzer Cloud
FortiAnalyzer Cloud ofrece a los clientes una opción de entrega basada en PaaS para
análisis de panel único impulsados por la automatización, proporcionando
administración de logs, análisis e informes para Fortinet NGFW y SD-WAN con una
solución basada en la nube de fácil acceso. Esta versión ofrece información confiable
en tiempo real sobre la actividad de la red con informes y monitoreo extensos para
una visibilidad clara y consistente de la postura de seguridad de una organización. Los
clientes pueden acceder fácilmente a su FortiAnalyzer Cloud desde su portal de inicio
de sesión único FortiCloud.
VM
VM Subscription
VMWare
Requerimientos mínimos
3000 16 4 300
4000 16 4 400
5000 16 4 500
6000 16 8 600
7000 16 8 700
8000 16 8 800
9000 16 8 900
10000 16 8 1000
20000 32 16 2000
30000 32 16 3000
40000 64 32 4000
50000 64 32 5000
Appliance
Big Data
FortiAnalyzer Big Data ofrece análisis de red de big data de alto rendimiento para
redes grandes y complejas. Está diseñado para centros de datos a gran escala e
implementaciones de gran ancho de banda, ofreciendo la protección contra amenazas
cibernéticas más avanzada mediante el empleo de la ingesta de datos a hiperescala y
Capacidades
Alto rendimiento
o Flujo de trabajo intuitivo de eventos e incidentes para que los equipos SOC
que pueden así concentrarse en las alertas críticas.
o El motor de correlación integrado automatiza y agrupa alertas para eliminar
falsos positivos.
o Conectores listos para usar y amplio catálogo de APIs para automatizar tareas
repetitivas.
Infraestructura de despliegue
Appliance
Alguno de los Highlights del appliance de FortiAnalyzer para Big Data incluyen
rendimientos y capacidades para entornos Large Enterprises y Service Providers.
Despliegue VM
Fortinet ofrece FortiAnalyzer Big Data en un modelo de licencia virtual apilable, con
servicios a la carta disponibles para FortiCare 24x7 licencias de soporte y suscripción
para el indicador de compromiso (IOC) de FortiGuard, el componente SOC de
FortiAnalyzer, y Servicio de detección de brotes FortiGuard.
Esta versión basada en software del dispositivo de hardware FortiAnalyzer Big Data
está diseñada para ejecutarse en muchas virtualizaciones, que le permite ampliar su
solución virtual a medida que crece su entorno.
FortiSoC incluye varios dashboards para ver información sobre playbooks, incidentes
y eventos.
A tener en cuenta:
Licenciamiento
FortiAnalyzer Appliance
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortianalyzer.pdf
FortiAnalyzer Perpetual VM
Oferta basada en suscripción del modelo VM, que agrupa soporte y servicios.
Trial License 1
VM-GB1 +1
VM-GB5 +5
VM-GB25 +25
VM-GB100 +100
VM-GB500 +500
VM-GB2000 +2000
Licenciamiento en VM
Con una cuenta FortiCare, FortiAnalyzer-VM incluye una licencia de prueba limitada
gratuita que no caduca.
La licencia de prueba gratuita incluye soporte para 3 ADOM y 1 GB/día de logs.
La licencia de prueba gratuita no incluye servicios ni soporte.
Puede activar la licencia de prueba cuando se conecta a la GUI para
FortiAnalyzer-VM. Los productos y servicios con todas las funciones están
disponibles para su compra con una licencia complementaria.
Licencia Add-on
FortiAnalyzer Cloud
Almacenamiento adicional:
+5 GB/day
FC1-10-AZCLD-463-01-DD
+50 GB/day
FC2-10-AZCLD-463-01-DD
+500 GB/day
FC3-10-AZCLD-463-01-DD
SoCaaS
FortiAnalyzer Cloud con SOCaaS se puede comprar para los modelos FortiGate
compatibles. Cada FortiGate que requiera el servicio de SoCaaS requiere una licencia.
OT
A partir de la versión 7.4, FortiAnalyzer agrega dos nuevos SKU para la parte de OT:
Mejores prácticas
Instalación de FortiAnalyzer
Mantenimiento general
BackUps
Las contraseñas, así como las claves privadas utilizadas en los certificados, se cifran
mediante una clave privada predefinida cuando se almacenan en FortiAnalyzer y
codificado cuando se muestra en la CLI y el archivo de configuración. Esto garantiza
que la contraseña no pueda se descifrará a menos que se conozca la clave privada y la
contraseña no se muestre en texto claro en ninguna parte.
config system global set private-data-encryption enable end Please type your private
data encryption key (32 hexadecimal numbers):
0123456789abcdef0123456789abcdef Please re-enter your private data encryption
key (32 hexadecimal numbers) again: 0123456789abcdef0123456789abcdef Your
private data encryption key is accepted.
Utilice siempre el siguiente comando de CLI para apagar el dispositivo antes de quitar
la alimentación:
Execute shutdown
Cuando necesite mover logs a un nuevo dispositivo FortiAnalyzer, utilice uno de los
siguientes métodos:
● Utilice el reenvío de logs en modo de agregación
● Utilice la búsqueda de logs (Fetcher Management).
Desmantelamiento de FortiAnalyzer
Diseño de ADOMs
Habilite los ADOM para admitir logs que no sean logs de FortiGate (incluidos Syslog
y FortiClient EMS). No es necesario separar los ADOM por versiones de FortiOS.
Log Management
Configurar redundancia
Si necesita más espacio en disco para una máquina virtual, puede agregar un disco
virtual. También puede aumentar el tamaño de un disco virtual existente. No se
requiere formato.
Utilice el comando execute lvm extend para agregar o extender discos virtuales.
Determinar los logs necesarios para cumplir con los requisitos empresariales
Log View > Storage Statistics muestra gráficos con tendencias para ayudarle con esta
planificación.
Para el análisis, asegúrese de que la cuota sea suficiente y que el período de retención
sea lo suficientemente largo como para completar todos los informes programados.
Cuando se generan informes y el período de retención de logs ha pasado, no es
necesario conservar los datos analíticos, ya que se pueden volver a generar a partir de
los datos de log archivados originales.
Se recomienda que los datos de archivo se conserven durante un período más largo
que los datos de log analítico. Los datos de archivado son necesarios para regenerar
datos analíticos en caso de una reconstrucción, como puede ocurrir automáticamente
durante la actualización del firmware.
Para generar un informe para un período de tiempo no cubierto por los datos
analíticos actuales:
Algunas actualizaciones de firmware pueden cambiar el esquema SQL que indexa los
logs (análisis). Si es así, FortiAnalyzer reconstruye automáticamente la base de datos
SQL. Durante la reconstrucción, las funciones de búsqueda e informes son limitadas.
Rara vez es necesario reconstruir manualmente una base de datos SQL. Si cree que
puede haber problemas con la base de datos SQL, póngase en contacto con atención al
cliente y soporte técnico antes de considerar una reconstrucción manual.
Rendimiento de reportes
Por ejemplo, para establecer la duración del bloqueo en dos intentos y establecer una
duración de dos minutos antes de que el administrador pueda volver a iniciar sesión,
escriba los siguientes comandos de CLI:
Establezca un nivel de cifrado sólido. Use la versión del protocolo SSL (versión TLS)
que cumpla con PCI o los requisitos de seguridad de su organización. Por ejemplo: