0x01 概念
随着数字化转型席卷每个行业,攻击面急剧增加(并且持续不断),使安全管理变得越来越困难。安全团队努力跟上大量安全设备产生的警报和其他信息的泛滥。而网络安全技能的差距只会使这变得更加困难。
基础设施,应用程序和端点(包括IoT设备)都必须受到保护。这要求实时查看所有设备和所有基础架构。企业还需要知道哪些设备代表了威胁以及在哪里。
FortiSIEM在一个可扩展的解决方案中将可见性,关联性,自动响应和补救功能结合在一起。它降低了管理网络和安全操作以有效释放资源,改进漏洞检测甚至防止漏洞的复杂性。
而且,我们的体系结构支持从各种信息源(包括日志,性能指标,安全警报和配置更改)进行统一的数据收集和分析。FortiSIEM将传统上在安全运营中心(SOC)和网络运营中心(NOC)的单独孤岛中监控的分析进行了组合,从而可以更全面地了解业务的安全性和可用性。
此外,FortiSIEM UEBA利用机器学习和统计方法为正常行为提供基线,并将实时,可操作的见解整合到有关关键业务数据的异常用户行为中。通过结合从端点传感器,网络设备流,服务器和应用程序日志以及云API提取的遥测,FortiSIEM能够构建用户,对等组,端点,应用程序,文件和网络的综合配置文件。FortiSIEM UEBA行为异常检测是一种低开销但高保真度的方法,可用于查看端到端活动(从端点到本地服务器和网络活动,再到云应用程序)的可见性。
0x02 主要优势
先进的SIEM解决方案不仅可以汇总安全事件,还可以做更多的事情。FortiSIEM提供领先的威胁防护和高业务价值。主要好处包括:
随需扩展架构和许可
快速的可扩展性是FortiSIEM虚拟机(VM)架构*和许可选项所固有的。
-
通过添加VM轻松提高性能和日志处理能力。
-
添加虚拟机无需额外费用。
-
灵活的许可选项包括MSSP PAYG,订阅和永久许可。
统一平台
通过多租户和多供应商支持降低复杂性。 -
在单个平台上支持多租户。MSSP能够集中管理所有客户,同时保持整体可见性。
– FortiSIEM为此提供了支持:
– 可自定义,支持多租户的图形用户界面(GUI)
– 多租户数据库
– 可扩展,支持多租户的体系结构。 -
FortiSIEM开箱即用地支持数百种多供应商产品,并与Fortinet产品无缝集成。
单窗格玻璃管理和控制
大多数FortiSIEM功能包括仪表板,分析,事件,配置管理数据库(CMBD)和管理,都可以通过基于Web的直观GUI进行访问。 -
可定制的基于角色的访问控制使组织可以确定每个用户可以访问的内容。
-
主动资产发现有助于构建集成的CMBD,以实现更好的资产管理。
-
性能和可用性监视(例如CPU,内存,存储和配置更改)扩展了平台的功能并提供了其他上下文数据。
更好的事件检测,减少事件影响
FortiSIEM可以更快地识别内部和外部威胁。此外,它还可以进行威胁搜寻和合规性监视。
- 借助获得专利的分布式关联引擎来检测事件,可以减少事件检测时间。
- 开箱即用的内容包括预先设计的解析器,仪表板和报告,以涵盖最常见的设备,从而提供快速的价值。
- FortiSIEM Analytics帮助寻找威胁和危害指标(IOC)。
- 通过使用端点上的代理收集有关行为的遥测,FortiSIEM UEBA可以识别内部威胁。
- 总体而言,平均响应时间(MTTR)减少了。
开箱即用的合规性和投资回报率(ROI)
通过提高效率,降低风险和减少攻击影响以及简化合规性可以获得更高的投资
回报。 - 员工和分析师的效率得到提高,因为他们获得了正确的信息和发现。
- 通过事件检测和报告来管理风险。
- FortiSIEM开箱即用的合规报告可帮助组织保持合规性。
- 预定义的内容可缩短实现价值的时间。支持750多个规则,大约3,000个报告,预定义的仪表板以及200多个供应商设备。
- 安全团队可以通过定义业务服务来了解事件的影响。这应该表明事件影响了哪些业务服务。