FortiSIEM のレビューと代替品

のフォーティSIEMシステムはセキュリティ情報とイベント管理(シェムリアップ） パッケージ。 SIEM は、セキュリティ情報管理 (SIM) とセキュリティ イベント管理 (SEM) という 2 つのセキュリティ保護手法を組み合わせたものです。

SIEMとは何ですか?

SIM システムはログ記録を調べて、不審なアクティビティを示すパターンを探します。 SEM メソッドは、ネットワーク トラフィック パターンやユーザー アクティビティなどのリアルタイム イベントを監視します。

どの方法にも弱点があります。たとえば、SIM は侵入や内部関係者の脅威を事後的に検出します。このセキュリティ戦略は、データ盗難などの悪意のあるアクティビティを発見するのに非常に効果的ですが、それは被害がすでに発生した後に限られます。 SEM は即時的なため、手遅れになる前に悪犯罪者の有害な活動をブロックできる可能性が高くなります。ただし、1 つの場所で監視されているインスタント データでは、ステルス攻撃者を検出できないことがよくあります。異なる場所で一見無関係に見えるいくつかのイベントに関する情報がリンクされた場合にのみ、侵入が明らかになります。

SIM と SEM を組み合わせて SIEM にすることで、より強力な保護戦略が作成されます。SIM の強みが SEM の弱みを補い、その逆も同様です。

FortiSIEMについて

フォーティネット同社はサイバーセキュリティとシステム防御で優れた実績を持っているため、当然、同社は SIEM 製品を投入する必要があります。 フォーティSIEM には、フォーティネットのすべての専門知識に裏打ちされた SIEM の組み合わせアプローチのすべての巧妙さが備わっています。

FortiSIEM は、同名の会社が開発した SIEM ソリューションである AccelOps として誕生しました。同社はセキュリティ脅威の分析と調査に取り組み、インテリジェンスとコンサルティング、SIEM ソフトウェアを提供しています。フォーティネットは、2016 年 6 月に AccelOps を買収しました。AccelOps の専門知識はフォーティネット チームとうまく統合され、新しい子会社の主力製品は FortiSIEM として再スタートしました。

関連記事: 最高のフォーティネット アナライザー

FortiSIEM 機能の概要

FortiSIEM は、SIEM システムとして、さまざまな脅威検出戦略を同時に実装します。セキュリティ フレームワークの主なアクションの一部を次に示します。

セキュリティとネットワーク運用監視の組み合わせ

FortiSIEM は、異常なアクティビティを探すときにトランザクション通知のログを調べるだけでなく、データ ソースからの情報も利用します。これらのデータ ソースは通常、ネットワーク パフォーマンスの監視、つまり簡易ネットワーク管理プロトコル (SNMP トラップ) からのアラートに使用されます。

SIEM の SEM 部分を実装するには、FortiSIEM がネットワーク上を循環するトラフィックを監視し、不審なアクティビティを探す必要があります。事実上、これは標準的なネットワーク監視システムの機能を影にしてしまいます。

デバイスとソフトウェアの構成変更の監視

ネットワーク機器は攻撃の脆弱性に対して強化する必要があります。ハッカーはこれを知っており、ネットワークへの検出されないアクセスを容易にするためにデバイスの構成を変更する方法を定期的に調査しています。 FortiSIEM は、それらの変更を検出して元に戻します。

AI機械学習技術の導入

セキュリティ ソフトウェアが、典型的なユーザー行動の完璧なテンプレートをそのまま入手できることはほとんどありません。 FortiSIEM は、予想されるユーザー行動の標準プロファイルで運用を開始しますが、機械学習プロセスを通じて時間の経過とともにこれを調整します。これにより、合理的な活動のベースラインが確立されます。その標準からの逸脱には、異常としてフラグが立てられます。これは、ユーザーおよびエンティティの行動分析 (UEBA) と呼ばれます。

リスクスコアリング

一部のデバイスの侵害は、他のデバイスの侵害よりも壊滅的な影響を及ぼします。 FortiSIEM は、リスク スコアリングを通じてこの事実を説明し、ネットワーク機器の重要な部分の監視を強化できるようにします。同じ優先順位付けがユーザー アカウントとユーザー ロールにも適用されます。

リアルタイムの分散イベント相関関係

効果的な SIEM システムは、ネットワーク上のさまざまな場所から取得されたイベント データをコンパイルする必要があります。通常、このタスクは、遡及的な情報を提供するログ ファイルから抽出されたデータに対して実行されます。ステルス侵入者は、一見無害に見える一連のアクションを通じてシステムのセキュリティを侵害する可能性があります。

検出ルールの詳細なリストは、脅威を示すアクションの典型的な組み合わせを特定するのに役立ちます。ほとんどの SIEM サービスとは異なり、FortiSIEM は、レコードがログ ファイルに書き込まれるのを待つのではなく、「イベント相関」と呼ばれるアクティビティ組み合わせルールをリアルタイムで実行できます。

自動検出および構成管理データベース

FortiSIEM は、保護されたネットワークに接続されているすべてのデバイスを検索し、その結果から資産インベントリを作成するネットワーク検出システムを運用しています。この在庫はリアルタイムで維持されるため、機器の在庫に対する変更は自動的に記録されます。

このサービスは、構成管理データベース (CMDB) を自動的に作成するため、ITIL 標準に準拠している企業に特に喜ばれます。 CMDB は、ITIL 資産管理の構成管理プロセスの中心となります。

ユーザー ID マッピング

DHCP のおかげで、IP アドレスによるユーザーの識別は簡単ではありません。顧客や在宅勤務者などの外部ユーザーを受け入れるシステムでは、個人を特定する際にも困難が伴います。 VPN や IP スイッチャーが作成する IP アドレスのバリエーションを加えると、単一ユーザーのすべてのアクションを結び付けるのが非常に困難になる可能性があります。

ユーザー アカウントやシステム認証さえも時々騙される可能性があり、事前認証されたゲストがログインせずに大混乱を引き起こす可能性があります。FortiSIEM は、MAC アドレス トレースやその他のフィンガープリンティング技術を使用して、各ユーザーまたは訪問者の唯一の識別子としての IP アドレスへの依存を排除​​します。 。

ログの解析

ログ解析は SIEM システムの中心となる SEM 戦略ですが、非効率的で遅いテキスト検索によって SIEM ソフトウェアの品質が大きく損なわれる可能性があります。フォーティネットは、特許取得済みのログ分析システムを使用して、FortiSIEM のログ検索手法を強化しました。

脅威インテリジェンス フィード

フォーティネットは、新たなサイバー攻撃やウイルスを研究する FortiGuard Labs を運営しています。 FortiGuard によって生成された脅威インテリジェンスは、世界中で実行されているすべての FortiSIEM インスタンスに供給されます。

フォーティネットはまた、同じハッカーグループによって生成された攻撃を結び付ける「侵害の兆候」をまとめており、最初の侵入または感染の試みに続く可能性のある攻撃の知識につながります。

FortiSIEM 構成オプション

FortiSIEM は 3 つの構成で利用できます。

• ネットワークデバイス
• オンプレミス ソフトウェア
• クラウドサービス

各オプションには利点と欠点があります。

FortiSIEM アプライアンス

ネットワーク デバイスはハードウェア ファイアウォールに似ています。他のデバイスと同様にネットワークに接続するだけです。ネットワークの参加者として、パケット スニファーと同様に、通過するすべてのトラフィックをサンプリングできます。

ハードウェア オプションを使用する利点は、デバイスにメモリとプロセッサが含まれているため、既存のサーバーに負荷をかけず、追加のディスク領域を必要としないことです。ただし、これは 3 つの FortiSIEM オプションの中で最も高価です。

FortiSIEM デバイスには 3 つのモデルがあります。

• FortiSIEM 500F – 1 秒あたり 5,000 イベント、3 TB ストレージ
• FortiSIEM 2000F – 1 秒あたり 15,000 イベント、36 TB ストレージ
• FortiSIEM 3500F – 1 秒あたり 30,000 イベント、72 TB ストレージ

当然のことですが、モデルが大きくなればなるほど価格も高くなります。これらのデバイスを注文する前に、ネットワーク トラフィックのスループットを明確に見積もることが重要です。これは、不必要な容量に対して過剰な料金を支払ったり、完全に分析されるネットワーク トラフィックの提供が不足したりしないようにするためです。

オンプレミス ソフトウェア

ソフトウェア オプションは、単にサーバーにダウンロードをインストールするほど単純ではありません。 FortiSIEM サービスをサポートするには、ハイパーバイザーが存在する必要があります。このシステムは、VMWare vSphere、KVM、Microsoft Hyper-V、および OpenStack 上で実行されます。

これらのシステムのいずれかをすでにインストールして運用している場合、このソフトウェア オプションは、運用するために社内のスキルがほとんど必要とされないため、非常に魅力的です。現在サーバーに仮想化が存在しない場合、ハイパーバイザーを動作させることは追加のタスクとなり、投資する準備ができていない可能性があります。

クラウドサービス

ホスト型のクラウドベースのオプションは、最も簡単なルートです。特殊なハードウェアは必要なく、使用するために専任の技術者も必要ありません。しかし、一部の企業は、システムに関するデータが建物の外に流出することを許可すると必然的にセキュリティが弱まると思われるため、Software as a Service (SaaS) モデルに基づくハードウェアとソフトウェアのアウトソーシングに依然として慎重です。

送信セキュリティは暗号化によってカバーされるため、ハッカーがサイトと分析が行われるフォーティネット クラウド サーバー間の通信を傍受することはできません。

ダッシュボード

FortiSIEM システムのユーザー コンソールは、標準の「すぐに使える画面」とカスタマイズされた画面の機会を組み合わせています。

標準画面

ネットワーク管理者が日常的に見る主な画面は、概要画面です。これらは、会社のインフラストラクチャのパフォーマンスに関するライブ データ統計を示します。

ネットワーク用の画面とサーバー用の画面があり、各サーバーに焦点を当てるように切り替えることができます。仮想化用の画面もあります。このセクションは、FortiSIEM ソフトウェアをオンプレミスで実行する企業にとって特に重要です。これは、SIEM サービスがオペレーティング システムとしてこの VM に依存しているためです。

システム全体の監視画面とは別に、特定のアプリケーションやサービスのアクティビティを検査する個別の画面があります。これらは、FortiSIEM の自動検出スイープがこれらのシステムの存在を検出した場合にのみアクティブになります。このような機能の例には、Office 365 やアマゾン ウェブ サービスなどがあります。

概要画面から詳細画面にドリルダウンしてアクセスできます。サービスのすべての標準画面は、データをスプレッドシート形式で表します。データは表示内の各列ごとに並べ替えることができ、分析ユーティリティに抽出することもできます。

カスタマイズ可能な画面

FortiSIEM ダッシュボードのカスタマイズできる部分は「ウィジェット画面」と呼ばれます。ウィジェットはデータ表現パネルです。ユーザーは、どの情報をパネルに表示するか、およびそれをどのように表現するかを決定できます。これはリスト、グラフ、チャートなどです。

ウィジェット画面のレイアウトはより魅力的であり、情報ソースを混在させることができます。ネットワーク管理者が FortiSIEM システムのさまざまな管理画面に慣れてくると、ウィジェット画面を組み立てて、標準画面の代わりにそれらを使用するようになります。

攻撃の軽減

FortiSIEM は不審なアクティビティを検出するだけではありません。また、それらの動きをブロックするための自動アクションを実行することもできます。このサービスは、ファイアウォールやアクセス権システムなど、ネットワーク上のいくつかのユーティリティと通信して、IP アドレスによるネットワークへのアクセスをブロックしたり、ユーザー アカウントをシャットダウンしたりできます。 SIEM システムは、個々のデバイスと直接通信して構成を復元し、ログ ファイルを改ざんから保護できます。

コンプライアンス報告

FortiSIEM パッケージには、PCI-DSS、HIPAA、SOX、NERC、FISMA、ISO、GLBA、GPG13、SANS Critical Controls、COBIT、ITIL、ISO 27001、NERC、NIST800-53、NIST800 への準拠を証明するために必要なレポート形式が含まれています。 171、NESA。さらに見つけることができます 詳細はデータシートに記載 。

最良の FortiSIEM 代替品

FortiSIEM は、現在市場で入手可能な唯一の SIEM システムではありません。 SIEM システムの仕組みの詳細については、次の投稿を参照してください。 最高の SIEM ツール 。

FortiSIEM に代わる最良の代替手段のリストは次のとおりです。

1. SolarWinds セキュリティ イベント マネージャー (無料トライアル) インフラストラクチャ管理ツールの大手プロバイダーである SolarWinds の SIEM ツール。このツールは SolarWinds ネットワーク監視ツールと統合されており、Windows Server 上で実行されます。 30 日間の無料トライアルを開始してください。
2. ManageEngine EventLog Analyzer (無料トライアル) SIM を提供するログ ファイル分析。 SEM 用の OpManager に追加します。 Windows、Windows Server、および Linux にインストールされます。 30 日間の無料トライアルにアクセスしてください。
3. Datadog セキュリティ監視 SIEM機能を統合したクラウド型ネットワーク監視システム。
4. Splunk エンタープライズ セキュリティ ログ管理と分析ツールによるネットワーク監視。 Windows と Linux にインストールされます。
5. OSSEC ログ分析に重点を置いた無料のオープンソース侵入検知システム。 Windows、Mac OS、Linux、Unix 上で動作します。
6. LogRhythm 次世代 SIEM プラットフォーム AIベースのトラフィックおよびログ分析ツール。 Windows と Linux にインストールされます。
7. AT&T サイバーセキュリティ AlienVault 統合セキュリティ管理 マルチ戦略の IDS と SIEM。 Windows だけでなく Mac OS でも動作します。
8. RSA NetWitness 大企業向けのSIEM向けネットワークトラフィック分析。 VM 上で実行されます。
9. IBM QRadar リスク評価と攻撃モデリングを備えた SIEM ツール。 Windows Server上で動作します。
10. マカフィー エンタープライズ セキュリティ マネージャー Active Directory と連携する SIEM ツール。 Windows だけでなく Mac OS でも動作します。

FortiSIEM に関するよくある質問

FortiSIEM はマルチテナントをどのようにサポートしますか?

FortiSIEM は、サービス プロバイダーの実装でマルチテナントをサポートします。アカウント所有者はこの設定を有効にしてから、データ ソースを特定する必要があります。このプロセス中に、FortiSIEM システムはクライアント アカウントに割り当てられたサイトにデータ収集エージェントをインストールします。この情報は、ユーザー ダッシュボードのクライアント サブアカウントにのみロードされます。

FortiSIEM にデバイスを追加するにはどうすればよいですか?

サービスはすべてのデバイスを自動的に検出する検出ルーチンを実行するため、FortiSIEM にデバイスを手動で追加する必要はありません。この機能は定期的に繰り返されるため、新しいデバイスがすぐに表示されない場合は、次のシステム スイープが表示されるまで待ちます。何らかの理由でデバイスを手動で追加する必要がある場合は、スーパーバイザ ダッシュボードに移動してこれを行うことができます。クリック CMDB を見てください。 デバイスビュー セクションをクリックして、 デバイス 。新しい機器に関連するデバイス カテゴリを確認し、[Nw] をクリックします。これにより、デバイスの詳細を入力するためのフォームが表示されます。

FortiGate を FortiSIEM に追加するにはどうすればよいですか?

まず、FortiSIEM が必要とする情報タイプを収集するように FortiGate が設定されていることを確認します。次に、FortiSIEM のセットアップに進みます。

1. FortiGate に管理者としてログインし、次の場所に移動します。 通信網 で システム メニュー。
2. 編集 FortiSIEM に使用するインターフェイス。下 管理アクセス 、 確認しておいて SSH そして SNMP が選択されます。 「OK」をクリックします。
3. 「システム」メニューの「構成」に移動し、「SNMP v1/v2c」を選択します。
4. クリック 新しく作る を有効にするには 公共 コミュニティ。

FortiSIEM に切り替えます。 Discovery プロセスが実行されると、FortiGate デバイスが識別され、それがデータ ソースとして使用されます。