Revue FortiSIEM et alternatives
LeFortiSIEMle système est unGestion des informations de sécurité et des événements(SIEM) emballer. SIEM est une combinaison de deux méthodologies de protection de sécurité : la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM).
Qu’est-ce que le SIEM ?
Les systèmes SIM examinent les enregistrements des journaux pour rechercher des modèles indiquant une activité suspecte. Les méthodes SEM surveillent les événements en temps réel, tels que les modèles de trafic réseau et les activités des utilisateurs.
Chaque méthode a ses faiblesses. Par exemple, SIM détecte les intrusions ou les menaces internes après coup. Cette stratégie de sécurité est très efficace pour détecter les activités malveillantes, telles que le vol de données, mais seulement une fois que le mal est déjà fait. Le SEM est instantané et a donc de meilleures chances de bloquer les activités dommageables des mécréants avant qu’il ne soit trop tard. Cependant, les données instantanées surveillées en un seul endroit ne permettent souvent pas de détecter les attaquants furtifs. Ce n’est que lorsque des informations sur plusieurs événements apparemment sans rapport survenus dans des lieux différents sont reliées entre elles que l’intrusion est révélée.
La combinaison de SIM et SEM dans SIEM crée une stratégie de protection beaucoup plus solide : les atouts de SIM compensent les faiblesses de SEM et vice versa.
À propos de FortiSIEM
Fortineta une solide expérience en matière de cybersécurité et de défense des systèmes, l’entreprise devrait donc naturellement lancer un produit SIEM. FortiSIEM a toute la ruse de l’approche combinée du SIEM soutenue par toute l’expertise de Fortinet.
FortiSIEM a vu le jour sous le nom d'AccelOps, une solution SIEM produite par une société du même nom. La société s'est engagée dans l'analyse et la recherche sur les menaces de sécurité, offrant des renseignements et des conseils ainsi que le logiciel SIEM. Fortinet a acheté AccelOps en juin 2016. L'expertise d'AccelOps s'est bien intégrée à l'équipe Fortinet et le produit principal de la nouvelle filiale a été relancé sous le nom de FortiSIEM.
Article similaire: Les meilleurs analyseurs Fortinet
Présentation des fonctionnalités de FortiSIEM
En tant que système SIEM, FortiSIEM met en œuvre simultanément une gamme de stratégies de détection des menaces. Voici quelques-unes des actions clés du cadre de sécurité.
Surveillance combinée de la sécurité et du fonctionnement du réseau
En plus d'examiner les journaux de notifications de transactions lors de la recherche d'activités inhabituelles, FortiSIEM exploite les informations provenant de sources de données. Ces sources de données sont généralement utilisées pour la surveillance des performances du réseau, à savoir les alertes du Simple Network Management Protocol (traps SNMP).
Pour mettre en œuvre la partie SEM du SIEM, FortiSIEM doit garder un œil sur le trafic circulant sur le réseau, à la recherche d'activités suspectes. En fait, cela occulte les fonctions de tout système de surveillance de réseau standard.
Surveillance des modifications de configuration des appareils et des logiciels
Les équipements réseau doivent être renforcés contre les vulnérabilités liées aux attaques. Les pirates le savent et recherchent régulièrement des moyens de modifier les configurations des appareils pour faciliter l'accès non détecté au réseau. FortiSIEM détecte et annule ces changements.
Déploiement de techniques d'apprentissage automatique de l'IA
Les logiciels de sécurité obtiennent rarement dès le départ le modèle parfait du comportement typique d’un utilisateur. FortiSIEM commence ses opérations avec un profil standard de comportement attendu des utilisateurs, mais l'ajuste au fil du temps grâce à un processus d'apprentissage automatique. Cela établit une base d’activité raisonnable. Toute divergence par rapport à cette norme est alors signalée comme inhabituelle – c'est ce qu'on appelle l'analyse du comportement des utilisateurs et des entités (UEBA).
Notation des risques
La violation de certains appareils serait plus catastrophique que celle d’autres. FortiSIEM prend en compte ce fait à travers une notation des risques, permettant de renforcer la surveillance des éléments critiques des équipements réseau. La même priorisation s'applique également aux comptes d'utilisateurs et aux rôles d'utilisateur.
Corrélation d'événements distribués en temps réel
Un système SIEM efficace doit compiler des données d'événements provenant de nombreux emplacements différents sur le réseau. Généralement, cette tâche est effectuée sur des données extraites de fichiers journaux, qui offrent des informations rétrospectives. Un intrus furtif peut éroder la sécurité du système par une série d’actions apparemment inoffensives.
Une liste élaborée de règles de détection permet d'identifier des combinaisons typiques d'actions qui indiquent une menace. Contrairement à la plupart des services SIEM, FortiSIEM est capable d'appliquer ses règles de combinaison d'activités – appelées « corrélations d'événements » – en temps réel plutôt que d'attendre que les enregistrements soient écrits dans des fichiers journaux.
Base de données de découverte automatique et de gestion de configuration
FortiSIEM exploite un système de découverte de réseau qui recherche tous les appareils connectés au réseau protégé, compilant un inventaire des actifs à partir de ses découvertes. Cet inventaire est tenu en temps réel, de sorte que toute modification apportée à l'inventaire des équipements est automatiquement notée.
Ce service plaira particulièrement aux entreprises qui suivent les normes ITIL car il crée automatiquement une base de données de gestion de configuration (CMDB). La CMDB est au cœur du processus de gestion de configuration de la gestion des actifs ITIL.
Cartographie de l'identité de l'utilisateur
Grâce au DHCP, identifier les utilisateurs par une adresse IP n'est pas simple. Les systèmes qui admettent des utilisateurs externes, tels que des clients ou des travailleurs à distance, rencontrent également des difficultés lorsqu'ils tentent d'identifier les individus. Ajoutez à cela les variations d'adresses IP créées par les VPN et les commutateurs IP et il peut être très difficile de relier toutes les actions d'un seul utilisateur.
Même les comptes d'utilisateurs et l'authentification du système peuvent parfois être trompés et les invités pré-authentifiés sont capables de faire des ravages sans se connecter. FortiSIEM utilise le traçage d'adresse MAC et d'autres techniques d'empreintes digitales pour supprimer la dépendance à l'adresse IP comme unique identifiant de chaque utilisateur ou visiteur. .
Analyse des journaux
L'analyse des journaux est la stratégie SEM centrale de tout système SIEM, mais la qualité du logiciel SIEM peut être sérieusement altérée par des recherches de texte inefficaces et lentes. Fortinet a renforcé sa méthodologie de recherche de journaux pour FortiSIEM avec un système d'analyse de journaux breveté.
Flux de renseignements sur les menaces
Fortinet gère FortiGuard Labs, qui recherche les nouvelles cyberattaques et virus. Les renseignements sur les menaces produits par FortiGuard sont intégrés à toutes les instances en cours d'exécution de FortiSIEM dans le monde.
Fortinet compile également des « indicateurs de compromission », qui relient les attaques produites par les mêmes groupes de hackers, permettant de connaître les attaques qui pourraient faire suite à une première tentative d'intrusion ou d'infection.
Options de configuration FortiSIEM
FortiSIEM est disponible en trois configurations :
- Un périphérique réseau
- Logiciel sur site
- Service cloud
Chaque option a ses avantages et ses inconvénients.
Appareil FortiSIEM
Le périphérique réseau est similaire à un pare-feu matériel. Il se connecte simplement au réseau comme n’importe quel autre appareil. En tant que participant au réseau, il est capable d'échantillonner tout le trafic qui passe, à la manière d'un renifleur de paquets.
L’avantage de l’utilisation de l’option matérielle est que l’appareil inclut de la mémoire et des processeurs, il n’impose donc aucune charge sur les serveurs existants et ne nécessite aucun espace disque supplémentaire. Cependant, il s’agit de la plus chère des trois options FortiSIEM.
Il existe trois modèles de l'appareil FortiSIEM :
- FortiSIEM 500F – 5 000 événements par seconde, 3 To de stockage
- FortiSIEM 2000F – 15 000 événements par seconde, 36 To de stockage
- FortiSIEM 3500F – 30 000 événements par seconde, 72 To de stockage
En clair, plus le modèle est grand, plus son prix est élevé. Il est important d’avoir une estimation claire du débit de votre trafic réseau avant de commander l’un de ces appareils. Ceci afin que vous ne payiez pas trop cher pour une capacité inutile et que vous ne prévoyiez pas non plus une analyse complète de votre trafic réseau.
Logiciel sur site
L’option logicielle n’est pas aussi simple que simplement installer un téléchargement sur le serveur. Le service FortiSIEM nécessite la présence d'un hyperviseur pour le supporter. Le système fonctionnera sur VMWare vSphere, KVM, Microsoft Hyper-V et OpenStack.
Si l'un de ces systèmes est déjà installé et opérationnel, l'option logicielle est très intéressante car elle nécessite très peu de compétences internes supplémentaires pour son fonctionnement. Si vous n’avez actuellement aucune virtualisation sur vos serveurs, faire fonctionner un hyperviseur sera une tâche supplémentaire dans laquelle vous n’êtes peut-être pas prêt à investir.
Service cloud
L’option hébergée basée sur le cloud est la voie la plus simple à suivre : elle ne nécessite aucun matériel spécialisé et vous n’avez pas besoin de techniciens dédiés pour l’utiliser. Cependant, certaines entreprises se méfient encore de l'externalisation du matériel et des logiciels dans le cadre du modèle Software as a Service (SaaS), car il semble que permettre aux données du système de quitter le bâtiment affaiblira inévitablement la sécurité.
La sécurité des transmissions est couverte par le cryptage, de sorte que les pirates ne peuvent pas intercepter les communications entre votre site et le serveur cloud Fortinet sur lequel l'analyse a lieu.
Tableau de bord
La console utilisateur du système FortiSIEM combine des « écrans prêts à l'emploi » standard et des possibilités d'écrans personnalisés.
Écrans standards
Les principaux écrans que tout gestionnaire de réseau consultera quotidiennement sont les écrans de synthèse. Ceux-ci affichent des statistiques de données en direct concernant les performances de l’infrastructure de l’entreprise.
Il existe un écran pour le réseau et un autre pour les serveurs, qui peuvent être commutés pour se concentrer sur chaque serveur. Il existe également des écrans pour les virtualisations ; cette section est particulièrement importante pour les entreprises qui exécutent le logiciel FortiSIEM sur site. En effet, le service SIEM s'appuie sur cette VM pour son système d'exploitation.
Outre les écrans de surveillance globale du système, il existe des écrans individuels qui examinent les activités d'applications et de services spécifiques. Ceux-ci ne seront activés que si le balayage de découverte automatique de FortiSIEM détecte la présence de ces systèmes. Des exemples de telles fonctionnalités incluent Office 365 et Amazon Web Services.
Les écrans récapitulatifs donnent un accès approfondi aux écrans de détail. Tous les écrans standards du service représentent les données sous forme de feuille de calcul. Les données peuvent être triées par chaque colonne de l'affichage et également extraites vers des utilitaires d'analyse.
Écrans personnalisables
Les parties du tableau de bord FortiSIEM qui peuvent être personnalisées sont appelées « écrans widgets ». Un widget est un panneau de représentation de données. L'utilisateur peut décider quelle information sera affichée dans un panneau et comment elle sera représentée. Cela peut être une liste, un graphique ou un diagramme.
La disposition d'un écran de widget est plus attrayante et permet des sources d'informations mixtes. À mesure que les gestionnaires de réseau se familiariseront avec les différents écrans d'administration du système FortiSIEM, ils commenceront à assembler des écrans de widgets et à les utiliser à la place des écrans standards.
Atténuation des attaques
FortiSIEM ne se contente pas de détecter les activités suspectes ; il peut également prendre des mesures automatiques pour bloquer ces mouvements. Le service est capable d'interagir avec plusieurs utilitaires sur un réseau, tels que des pare-feu et des systèmes de droits d'accès pour empêcher une adresse IP d'accéder au réseau ou fermer un compte utilisateur. Le système SIEM peut communiquer directement avec des appareils individuels pour restaurer les configurations et protéger les fichiers journaux contre la falsification.
Rapports de conformité
Le package FortiSIEM comprend les formats de rapport nécessaires pour prouver la conformité aux normes PCI-DSS, HIPAA, SOX, NERC, FISMA, ISO, GLBA, GPG13, SANS Critical Controls, COBIT, ITIL, ISO 27001, NERC, NIST800-53, NIST800- 171 et NESA. Vous pouvez en trouver davantage détails sur la fiche technique .
Les meilleures alternatives FortiSIEM
FortiSIEM n'est en aucun cas le seul système SIEM disponible sur le marché aujourd'hui. Pour des informations plus détaillées sur le fonctionnement des systèmes SIEM, veuillez consulter notre article sur le Meilleurs outils SIEM .
Voici notre liste des meilleures alternatives à FortiSIEM :
- Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Un outil SIEM de SolarWinds, le principal fournisseur d'outils de gestion d'infrastructure. Cet outil s'intègre aux outils de surveillance réseau SolarWinds et fonctionne sur Windows Server. Commencez un essai gratuit de 30 jours.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Analyse du fichier journal qui fournit SIM ; ajouter à OpManager pour SEM. Il s'installe sur Windows, Windows Server et Linux. Accédez à l'essai gratuit de 30 jours.
- Surveillance de la sécurité Datadog Un système de surveillance de réseau basé sur le cloud avec fonction SIEM intégrée.
- Sécurité d'entreprise Splunk Surveillance du réseau avec gestion des journaux et outil d'analyse. Il s'installe sur Windows et Linux.
- OSSEC Un système de détection d'intrusion open source gratuit qui se concentre sur l'analyse des journaux. Il fonctionne sous Windows, Mac OS, Linux et Unix.
- Plateforme SIEM LogRhythm NextGen Outil d'analyse du trafic et des journaux basé sur l'IA. Il s'installe sur Windows et Linux.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault IDS multi-stratégies et SIEM. Il fonctionne sous Mac OS ainsi que Windows.
- RSA NetWitness Analyse du trafic réseau pour SIEM destinée aux grandes entreprises. Il fonctionne sur une VM.
- IBM QRadar Un outil SIEM avec évaluation des risques et modélisation des attaques. Il fonctionne sur Windows Server.
- Gestionnaire de sécurité McAfee Enterprise Un outil SIEM qui s'interface avec Active Directory. Il fonctionne sous Mac OS ainsi que Windows.
FAQ FortiSIEM
Comment FortiSIEM prend-il en charge la multilocation ?
FortiSIEM prend en charge la multilocation dans la mise en œuvre d'un fournisseur de services. Le titulaire du compte doit activer ce paramètre puis identifier les sources de données. Au cours de ce processus, le système FortiSIEM installe des agents de collecte de données sur les sites alloués au compte client. Ces informations sont uniquement chargées dans le sous-compte client dans le tableau de bord utilisateur.
Comment ajouter un appareil à FortiSIEM ?
Il ne devrait pas être nécessaire d'ajouter manuellement un appareil à FortiSIEM car le service exécute une routine de découverte qui détecte automatiquement tous les appareils. Cette fonction se répète périodiquement, donc si vous ne voyez pas le nouveau périphérique immédiatement, attendez le prochain balayage du système pour qu'il apparaisse. Si, pour une raison quelconque, vous devez quand même ajouter manuellement un appareil, vous pouvez le faire en accédant au tableau de bord du superviseur. Cliquer sur CMDB , regarde dans le Vue de l'appareil et cliquez sur Dispositifs . Regardez la catégorie d'appareil liée à votre nouvel équipement et cliquez sur Nw. Cela fait apparaître un formulaire que vous devez remplir avec les détails de l'appareil.
Comment ajouter FortiGate à FortiSIEM ?
Tout d’abord, vérifiez que FortiGate est configuré pour collecter les types d’informations dont FortiSIEM a besoin. Passez ensuite à la configuration de FortiSIEM :
- Connectez-vous à FortiGate en tant qu'administrateur et accédez à Réseau sur le Système menu.
- Modifier l'interface que vous utiliserez pour FortiSIEM. Sous Accès administratif , veiller à ce que SSH et SNMP sont sélectionnés. Cliquez sur OK.
- Accédez à Config dans le menu Système et sélectionnez SNMP v1/v2c.
- Cliquez sur Créer un nouveau pour permettre au publique communauté.
Passez à FortiSIEM. Lorsque le processus de découverte s'exécute, il doit identifier le périphérique FortiGate et l'utiliser comme source de données.