FORTIANALYZER – GIẢI PHÁP PHÂN TÍCH VÀ QUẢN LÝ LOG CHUYÊN NGHIỆP

1. Giới thiệu:

• FortiAnalyzer là một nền tảng quản lý log[1], lưu trữ, phân tích và báo cáo mạnh mẽ, nó cho phép các Doanh nghiệp khả năng Single-Pane Orchestration (điều phối), Automation (tự động hóa), Response (phản hồi), FortiAnalyzer kết hợp với  FortiManager[2] để giải quyết vấn đề nhiều công cụ, nhiều thiết bị làm cho các hoạt động giám sát, quản lý trở nên phức tạp hơn; nó cũng giúp đơn giản hóa các hoạt động bảo mật, chủ động xác định và khắc phục rủi ro cũng như khả năng hiển thị đầy đủ của tấn công bề mặt (attack surface).

• FortiAnalyzer, được tích hợp với Fortinet’s Security Fabric, cung cấp khả năng giám sát các sự kiện về bảo mật của toàn bộ hệ thống, phát hiện mối đe dọa nâng cao, phân tích bảo mật tập trung, giúp các Doanh nghiệp xác định và loại bỏ các mối đe dọa trước khi lỗ hỏng về bảo mật xuất hiện.

2. Tính năng chính:

2.1 FortiAnalyzer report:

• FortiAnalyzer cung cấp hơn 60 mẫu báo cáo, hơn 800 bộ dữ liệu và hơn 750 biểu đồ sẵn sàng sử dụng với các báo cáo mẫu, bao gồm các báo cáo về Secure SDWAN, VPN Monitoring, Threat Assessments, 360 Security Reviews, Situational Awareness, Self-harm and Risk Indicators, Bandwidth and Applications, FortiClient, FortiMail, FortiSandbox, FortiDeceptor.
• Doanh nghiệp có thể dễ dàng tùy chỉnh, sao chép và sửa đổi Report theo nhu cầu của mình bằng các bộ lọc theo device/subnet, cung cấp số liệu cụ thể cho các bên liên quan.
• FortiAnalyzer có thể tổng hợp và phân tích dữ liệu log từ Fortinet các thiết bị Syslog tương thích khác. Bằng cách sử dụng bảng báo cáo toàn diện dễ dàng tùy chỉnh, Doanh nghiệp có thể ghi lại và xem xét các file lưu trữ log, bao gồm như traffic, sự kiện, virus tấn công, nội dung web, dữ liệu email, khai thác các dữ liệu để bảo đảm được các bảo mật đã thiết lập.
• Lập lịch báo cáo để chạy vào những giờ không phải cao điểm hoặc chạy theo yêu cầu; xác định cấu hình đầu ra cho các thông báo và cung cấp báo cáo ở các định dạng xem linh hoạt bao gồm PDF, HTML, CSV và XML.

2.2 Hiển thị tập trung NOC/SOC cho Attack Surface

• Chế độ xem FortiSOC giúp các nhóm trong trung tâm hoạt động bảo mật (SOC) và trung tâm hoạt động mạng (NOC) bảo vệ các mạng có quyền truy cập vào realtime log và dữ liệu về mối đe dọa ở dạng chi tiết sâu, thông báo và báo cáo qua bảng điều khiển (dashboard) được hiển thị sẵn hoặc tùy chỉnh.
• Các nhà phân tích có thể sử dụng quy trình làm việc tự động hóa của FortiAnalyzer để điều phối đơn giản các hoạt động bảo mật, quản lý các mối đe dọa/ lỗ hổng cũng như ứng phó với các sự cố bảo mật hoặc chủ động điều tra bằng cách tìm kiếm các bất thường/ mối đe dọa trong log chuẩn hóa SIEM trong chế độ xem Threat Hunting.

2.3 Quản lý sự kiện:

• Trình quản lý sự kiện (Event Management) của FortiAnalyzer cho phép các nhóm bảo mật giám sát và quản lý các cảnh báo và sự kiện từ log.
• Các sự kiện được xử lý và hiển thị trực quan để người quản lý có thể hiểu ngay và có những hành động phù hợp. Trình theo dõi sự kiện (Event Monitor), với các bộ lọc có thể tùy chỉnh để tạo thông báo theo realtime, theo dõi 24/24 bao gồm: SD-WAN, VPN SSL, wireless, hoạt động mạng, FortiClient, v.v.

2.4 Quản lý sự cố:

• Thành phần sự cố (Incidents) trong FortiSOC cho phép các nhóm hoạt động bảo mật quản lý việc xử lý sự cố và hiển thị các thiết bị, thiết bị đầu cuối và người dùng bị ảnh hưởng.
• Các nhà phân tích có thể chỉ định sự cố, xem và đi sâu vào chi tiết sự kiện, dòng thời gian của sự cố, thêm comment phân tích, đính kèm báo cáo và hiện vật...để có lịch sử kiểm tra hoàn chỉnh.
• Tích hợp với FortiSOAR để điều tra thêm sự cố và loại bỏ mối đe dọa bao gồm hỗ trợ xuất dữ liệu sang FortiSOAR thông qua trình kết nối fabric FortiAnalyzer.

2.5 Assets và Identity

• FortiAnalyzer’s Fabric View với tính năng giám sát Nội dung và Danh tính (Assets[3] và Identity) cung cấp khả năng hiển thị SOC đầy đủ của người dùng, thiết bị, bao gồm phân tích attack surface và cho phép các nhà phân tích xem, quản lý thông tin UEBA chi tiết được thu thập từ log và fabric device, với bộ lọc và chế độ xem có thể tùy chỉnh.
• Chế độ xem Assets & Identity cung cấp cho các nhóm bảo mật khả năng hiển thị cao hơn đối với các điểm cuối của tổ chức và người dùng với thông tin người dùng và thiết bị cốt lõi, phát hiện lỗ hổng và phân loại asset từ xa với EMS, NAC và Fortinet Fabric Agent.
• FortiView là một giải pháp giám sát toàn diện cung cấp các chế độ xem đa tầng và tóm tắt thông tin và cảnh báo quan trọng theo realtime như các mối đe dọa hàng đầu và IOC đối với mạng của bạn bao gồm Botnet và C&C, các sources/destinations hàng đầu của lưu lượng mạng, các ứng dụng, trang web và SaaS, VPN và Thông tin hệ thống, và thông tin về thiết bị Fabric khác.
• Monitor view cung cấp cho các nhóm vận hành NOC và SOC có thể tùy chỉnh, các tiện ích được thiết kế để hiển thị trên nhiều màn hình. Giám sát các sự kiện trong realtime thông qua các chế độ xem có sẵn như SD-WAN, VPN, WiFi, Outgoing traffic, Applications, Websites, FortiSandbox Detections, Endpoint Vulnerabilities, Software Inventory, Threats...

[3] Endpoint và end user là những asset quan trọng trong hệ thống mạng, chúng là những điểm tấn công, khai thác chính

2.6 Các loại log được thu thập:

• FortiAnalyzer có thể thu thập log từ các thiết bị quản lý như: FortiGate, FortiCarrier, FortiCache, FortiMail, FortiManager, FortiSandbox, FortiWeb, FortiClient và syslog server.
• Dưới đây là bảng mô tả:

3. Tổng kết:

• Ngoài thiết bị phần cứng, FortiAnalyzer còn có phiên bản ảo hóa nữa, nó là thiết bị tích hợp các tính năng như: ghi log, phân tích, lưu trữ và xuất report tập trung cho các thiết bị vào một nền tảng duy nhất.
• FortiAnalyzergiúp rút ngắn và tiết kiệm thời gian giám sát hệ thống của người quản trị cũng như phân tích, xác định các dạng tấn công các hình thức tấn công, qua đó giúp Doanh nghiệp điều chỉnh lại các chính sách để đảm bảo hệ thống mạng luôn được an toàn và bảo mật.

Ngoài ra còn rất nhiều tính năng chi tiết khác mà bài viết không đề cập, quý khách hàng vui lòng xem thêm trong Datasheet hoặc liên hệ với chúng tôi để được giải đáp.