FortiSIEM. Ventajas de su implementación en la empresa.

FortiSIEM es una solución de gestión de eventos e información de seguridad (SIEM) que combina el análisis avanzado de registros (logs), y el análisis de tráfico con la monitorización del rendimiento y la disponibilidad, el análisis de cambios y el conocimiento preciso de la infraestructura para proporcionar detección de amenazas, remediación, respuestas rápidas a las incidencias y «reporting» (información de actividades).

Tipos de FortiSIEM

FortiSIEM puede desplegarse como un dispositivo de hardware, un dispositivo virtual o como un clúster de dispositivos virtuales para escalar a grandes infraestructuras, adaptándose perfectamente a pequeñas empresas, grandes empresas distribuidas geográficamente y proveedores de servicios.

Existen tres tipos de nodos FortiSIEM, «Collector», «Worker» y «Supervisor».

• Los colectores se utilizan para la recopilación de datos de varios entornos de red separados geográficamente posicionados detrás de un firewall.
• Los recopiladores se comunican con los dispositivos, recopilan los datos, los analizan y los envían a los nodos de trabajo «Workers», a través de una comunicación segura HTTP(S).
• Los nodos «Supervisor» y «Worker» residen en el centro de datos y realizan funciones de análisis de datos mediante algoritmos específicos.

Para el almacenamiento escalable de eventos, FortiSIEM ofrece dos soluciones. FortiSIEM NoSQL con datos residentes en un servidor NFS y Elasticsearch.

A medida que crecen las necesidades de computación o almacenamiento, se pueden añadir nuevos nodos «Collector», nodos «Worker», discos en el servidor NFS y nodos de datos Elasticsearch.
FortiSIEM también proporciona Agentes Windows que permiten la recopilación de «logs» desde Servidores Windows.

Ventajas de FortiSIEM

FortiSIEM permite gestionar múltiples grupos de dispositivos y usuarios dentro de una única instalación de FortiSIEM.

Los dispositivos y las direcciones IP pueden solaparse entre diferentes organizaciones. FortiSIEM proporciona una estricta separación lógica entre organizaciones en la capa de aplicación. Los usuarios de una organización no pueden ver los datos de otra organización incluyendo dispositivos, usuarios y registros. Los usuarios que pertenecen a una organización de proveedor de servicios de gestión pueden ver todas las organizaciones.

El motor de descubrimiento de FortiSIEM puede explorar una infraestructura de TI tanto en instalaciones on-premise como en la nube, descubre y categoriza los dispositivos de red, servidores, usuarios y aplicaciones. Se detecta información como tipo de hardware, números de serie y licencias, software instalado, aplicaciones que se ejecutan y aplicaciones que no se ejecutan. Toda esta información se lleva a una base de datos (CMDB), que se mantiene actualizada mediante redescubrimientos programados.

FortiSIEM se conecta a una amplia variedad de fuentes de amenazas (tanto gratuitas como de pago), las cuales le permiten encontrar coincidencias en tiempo real. Algunas fuentes de amenazas pueden tener un
gran número (millones) de IP y URL maliciosas. Los motores de búsqueda distribuida y de reglas de FortiSIEM permiten encontrar coincidencias con todos estos datos consiguiendo una gran efectividad.

En cuanto a la respuesta a incidentes y mitigación, FortiSIEM proporciona una serie de scripts de mitigación que pueden ejecutar una acción cuando se produce un incidente. Los scripts pueden
invocarse automáticamente cuando ocurre un incidente o pueden ser invocados bajo demanda. Algunos ejemplos son el bloqueo de una IP o una MAC, desactivar un usuario del directorio activo, eliminar un archivo infectado, poner a un usuario en una lista de vigilancia o reiniciar un proceso o reiniciar un servidor.
Desde ICM, además, podemos desarrollar nuestros propios scripts de mitigación y desplegarlos en un sistema en ejecución para optimizar la seguridad informática