FortiAnalyzer中的FortiSoC模块为SOC分析师提供了更完整的解决方案,包括:
● 事件管理:提供完整的事件生命周期管理功能,包括警报、监控和升级。
● 自动化:无需任何人工干预即可运行常见任务,从而实现更高效的操作。
● 架构分析:从单个接口提供整个网络的可见性。
FortiAnalyzer SIEM能够解析、正常化和关联来自Fortinet产品的日志以及Windows和Linux主机的安全事件日志(与Fabric Agent集成)。解析由FortiAnalyzer预定义,不需要管理员手动配置。
FortiSoC还提供事件管理功能。
此外,还支持操作手册自动化,以加快事件响应时间。
Fortinet提供两个专用产品,FortiSOAR和FortiSIEM,它们扩展了这些功能并增加了许多其他功能。FortiSOAR可以作为独立产品和可以安装在FortiAnalyzer上的管理扩展应用程序。
管理扩展应用程序(MEA)是以docker容器形式运行的产品的完整实例。安装的MEA使你能够使用单窗格使用和监控Fortinet的不同解决方案。
两个可用的MEA:
● FortiSOAR:默认包括有限的试用。许可后提供全部功能。
● FortiSIEM:仅限SIEM收集器功能。必须在有执照的FortiSIEM主管上注册。
FortiSOAR MEA允许你使用FortiAnalyzer管理你的安全操作,而无需单独的FortiSOAR实例。事实上,这是一个完全可操作的FortiSOAR实例。
当你已经部署了FortiAnalyzer时,FortiSIEM MEA使FortiAnalyzer成为SIEM收集器,从而减轻了对单独的FortiSIEM收集器节点(VM或设备)的需求。
在启用管理扩展应用程序之前,请查看最低硬件要求。
有关每个管理扩展的更多信息,请参阅Fortinet Documentalion Library中的相应管理员指南。
这些仪表盘使客户能够有效地监控SOC生产力,并识别差距以提高性能和效率。
结合起来,这些仪表盘很好地概述了你的SOC团队的情况,以及是否有一些需要改进的领域。
这些仪表板盘只读的,不可定制。他们显示的信息会根据后台发生的其他操作自动更新。例如,当生成新事件时。
使用此仪表盘,SOC团队将能够根据其严重性和状态确定必须更紧迫地解决哪些事件,并跟踪网络中发生的最常见的事件类型。信息以几种图形格式提供,每个活动类别使用不同的颜色。
例如,上图显示,大约三分之一的事件被归类为关键事件,并且有430个未处理的事件。
要管理事件,你必须使用FortiSoC事件监视器部分。这将在本课后面介绍。
此仪表盘清楚地展示了有多少事件需要关注或仍在由分析师处理。它还提供了事件严重程度的彩色编码表示。
在上图显示的例子中,尽管大多数事件非常严重,但所有事件仍未解决。在现实情况下,这是不可接受的。
要开始分析并最终解决事件,你必须使用FortiSoC事件部分。这将在本课后面介绍。
此仪表盘显示过去七天内执行的所有操作手册,包括它们的名称和执行的操作总数。这让我们了解了通过自动执行手动完成的任务节省了多少时间。
在上图显示的示例中,已经执行了246本操作手册。然而,已经采取了496项行动。这表明列出的一个或多个剧本配置了多个操作。该图像还显示了最执行的剧本的名称。SOC分析师有责任确保操作手册配置正确,以便它们仅在需要时运行。
要管理操作手册,你必须使用FortiSoC自动化部分。这将在本课后面介绍。
事件处理程序查看日志中的信息是否符合一系列可配置标准,如威胁类型、设备类型、日志类型等。
FortiAnalyzer附带了几个预定义的事件处理程序,可以开箱即用,也可以克隆和定制。你还可以从头开始创建自定义的。
所有生成的事件都可以在事件监视器下查看,你可以在其中看到它们全部合并或按端点、威胁和系统事件进一步划分。
FortiAnalyzer包括许多预定义的事件处理程序,你可以启用这些事件来生成事件。它们可在事件处理程序列表中找到。
如果预定义的事件处理程序都不符合你的要求,你可以克隆和自定义它们或从头开始创建新的。
第一部分包含必须与日志匹配才能生成事件的字段。第二部分包括如果找到匹配项,将添加到生成的事件中的详细信息。
上图显示了第一部分的字段。通过配置这些字段,你可以根据需要粒度仅获得相关匹配,从而获得所需的事件。
请注意,你可以创建多个过滤器,每个过滤器都有自己的配置。例如,这可用于在不同设备类型的日志上查找匹配项。
你还可以添加预过滤器,这是一个常见的过滤器,将在配置所有其他过滤器之前应用。然后,可以使用预过滤器上的条件来限制其他过滤器将检查哪些日志是否匹配。因此,它们也被称为排除过滤器。
当满足以下条件时,上图显示的处理程序会生成事件:
● 发送日志的设备是Training-Lab安全架构的FortiGate成员。
● 该日志的子类型为IPS,且严重级别为High或更高。
● 流量的目标IP地址是10.200.1.10。
支持多个运算符和逻辑。你可以将光标悬停在通用文本过滤器旁边的问号上,以显示示例。
示例:dstip==192.168.1.168 & hostname ~ “facebook”将匹配所有日志,目标IP字段等于192.168.1.168,主机名字段中包含字符串facebook。
请记住,如果你需要在过滤器中包含保留字符,则需要使用转义字符 “\”。
作为避免语法错误的提示,你可以在原始日志中搜索要添加事件处理程序的日志文件,并复制和粘贴要匹配的字符串。
你可以在附加信息部分的事件处理程序中创建自定义消息。自定义消息可以包括你认为相关或重要的变量和日志字段。
所有事件信息都可以包含在通过电子邮件发送的通知中,如SNMP陷阱、织物连接器或系统日志服务器。使用此功能,分析师可以在不进入日志的情况下查看事件详细信息。要使用任何这些通知方法,你必须首先设置后端(例如,用于电子邮件通知的电子邮件服务器)。
所有事件信息都可以包含在通过电子邮件发送的通知中,如SNMP陷阱、架构连接器或系统日志服务器。使用此功能,管理员无需在FortiAnalyzer中打开日志即可查看事件详细信息。
要使用任何这些通知方法,你必须首先设置后端(例如,用于电子邮件通知的电子邮件服务器)。
上图显示了配置为使用IP地址为10.200.1.254的服务器通过电子邮件发送通知的事件处理程序。
可能的状态是:
● 未处理:安全事件风险未被缓解或遏制,因此被视为开放。例如,带有action=pass的IPS/AV日志将具有事件状态未处理。僵尸网络和loC事件也被视为未处理。
● 包含:风险源被隔离。例如,具有action=quarantine的AV日志将包含事件状态。
● 缓解:通过阻止或删除来缓解安全风险。例如,带有action=block/drop的IPS/AV日志将缓解事件状态。
● (空白):其他场景。例如,允许和阻止操作都可以在与该事件关联的日志中看到。
要导出事件处理程序,请转到事件处理程序列表,从列表中选择一个或多个处理程序,右键单击,然后选择导出。
将打开一个新窗口,你需要选择是否要包含子网组信息和要创建的文件类型、文本或压缩。点击确定完成并保存文件。
子网和子网组可以在架构视图中创建,它们可以用作事件处理程序和报告中的过滤器。
如果你需要以纯文本阅读文件,请使用文本格式。导出的文件使用JSON格式保存。
要导入事件处理程序,请转到事件处理程序列表,右键单击,然后选择导入。
将打开一个新窗口,你必须在其中选择所需的JSON格式文件,然后单击确定。
如果导入的处理程序的名称已经存在,则将自动将时间戳附加到要导入的处理程序的名称上。
你可以在所有事件下看到它们全部合并,或按端点、威胁和系统事件进一步划分。
双击事件可提供有关它的更多详细信息,包括来自相关日志的信息。
一般来说,应优先考虑未处理状态和严重程度的事件。
确认事件会将其从事件列表中删除,但可以通过单击“显示已确认”再次显示。一般来说,可以确认缓解的事件,因为相关流量被防火墙阻止了。例外可能是过多的缓解事件,尽管被阻止,但可能表明设备受损。此外,如果事件被用来生成事件,也应在事件被标记为已解决后确认。
此外,你可以使用过滤器仅显示感兴趣的事件。你可以根据此视图中可用的任何列过滤事件。例如,你可能只需要显示与IPS相关的事件。
利用FortiAnalyzer自动化功能,可以手动创建事件,或者最好使用操作手册自动创建事件。
在FortiAnalyzer中,通过右键单击所需事件并选择相应的选项,从事件监视器手动创建事件。事件也可以从事件监视器下的默认视图之一创建。
每个事件都包括类别、严重性、状态、受影响的端点,以及可选的描述和指定的管理员。
一旦创建,可以在事件中查看事件。
分析页面提供了管理员对事件进行全面调查所需的所有相关信息和工具的访问权限。此页面上显示的一些详细信息包括:受影响的端点和用户(如果有的话)、事件的时间表、任何已执行的剧本和运行它们的能力、任何附加事件和报告的审计历史记录等等。
在底部,这些选项卡提供了更多详细信息:评论、事件、报告、指标、受影响的资产、流程、软件和漏洞。
例如,在评论选项卡下,你将看到其他分析师添加的任何评论,并且你将能够添加新的评论。
与事件相关的事件列表也可以在该名称的选项卡下找到。从这里,你可以通过右键单击感兴趣的事件来访问相关日志。这将在其他窗口中打开日志视图。
现有报告以及创建新报告的能力也可以在报告选项卡下进行。
当事件被视为已结束时,应相应地更改其状态。此外,已解决的事件可以从列表中删除。
FortiAnalyzer可以配置为在事件状态发生任何更改后发送通知。
你可以配置FortiAnalyzer,使用预配置的架构连接器向外部平台发送通知。
要配置通知,请转到设置,从下拉列表中选择一个架构连接器,然后选择要发送通知的事件活动。
你可以添加多个架构连接器,每个连接器具有相同或不同的通知设置。必须配置连接器的接收侧才能成功发送通知。
威胁搜索过程通常从一个广泛的问题或假设开始,这决定了你试图找到哪种类型的威胁。您也可以从if-then语句开始。例如:如果我们的网络中有DNS命令和控制攻击,那么我们应该会看到异常的DNS流量。
这个过程经常与MITRE ATT&CK或Cyber Kill Chain框架保持一致。这允许你缩小到更具体的问题。
威胁搜索使用缓存的数据允许SOC分析师快速钻探感兴趣领域的日志。要查看威胁搜索仪表板,请转到威胁搜索。此仪表板包括日志计数图表和SIEM日志分析表。
要更改显示的时间范围,请从仪表板左上角的下拉列表中选择一个时间。你可以通过选择最后N分钟、最后N小时或最后N天来配置自定义时间范围。使用添加过滤器或右键单击表中的值并选择相应的过滤器将过滤器应用于仪表板。SIEM日志分析表中只显示与所选时间范围和过滤器匹配的日志。
检查此工具的信息,你可能会产生一个特定的假设。例如,根据上图中的图像,可能会出现以下问题:
● 这个时间段的DNS日志数量是预期的吗?
● IMAPS发送的数据量正常吗?
● 网络中是否有经批准的IMAPS服务器?
● 什么服务或应用程序正在使用UDP端口12121?
你可以使用鼠标的滚轮或调整图表下方的时间栏来放大和缩小显示的时间范围。你可以通过拖动所选时间范围两侧的开始和停止条,或单击并向左或向右拖动整个时间范围来调整时间栏。例如,你可以搜索下班时间发生的可疑活动。
SIEM日志分析表中仅显示图表中可见的时间段内显示的日志。
单击左侧窗格中所需的字段以查看表中的相应数据。该表显示详细的统计数据,包括计数(日志数量)、百分比、发送的字节和会话持续时间信息。
双击表中的项目以打开详细的日志信息。生成的视图包括日志视图中可用的相同过滤功能,无需离开页面。
基于MITRE ATT&CK框架、战术渗透、替代协议的技术渗透,SOC团队希望回答以下问题:DNS隧道是否用于从本地网络中提取机密数据?
使用日志图,发现正在产生异常数量的DNS流量,包括正常工作时间之外。通过检查DNS日志的详细信息,发现具有IP地址10.0.1.10的主机是这种异常流量的主要来源。
这引发了一个新的事件。SOC团队确定主机已被泄露,并继续遵循公司安全计划中的步骤,以遏制和消除这一漏洞。
Fortinet的爆发警报显示在爆发警报窗格中,并在所有ADOM上可用。
新报告也是如此。
