FortiAnalyzer – решение по централизованному отслеживанию и анализу событий безопасности – обеспечивает важное понимание угроз по всем направлениям атак и мгновенное оповещение о критических ситуациях, предоставляет данные об угрозах в режиме реального времени, проводит анализ состояния системы безопасности NOC-SOC в рамках архитектуры информационной безопасности Fortinet Security Fabric.
Действия, осуществляемые благодаря использованию FortiAnalyzer:
- Возможность реагировать на инциденты позволяет улучшить работу функций управления и аналитики с упором на управление событиями и идентификацию скомпрометированных конечных устройств; автоматическое помещение скомпрометированных конечных узлов в карантин; обнаружение и отслеживание инцидентов, а также сбор и анализ доказательств.
- FortiView – это система комплексного мониторинга сети, которая позволяет на одном экране просматривать данные в реальном времени и в исторической перспективе. Может регистрировать и контролировать угрозы для сетей, фильтровать данные на нескольких уровнях, отслеживать административную активность и многое другое.
- FortiAnalyzer объединяет рейтинги угроз для конечного пользователя и формирует сводный итоговый индикатор компрометации для конечного пользователя. Сводные данные по индикаторам компрометации создаются с помощью веб-фильтра UTM устройств FortiGate и подписки FortiAnalyzer на обновления FortiGuard с целью синхронизации локальной базы данных угроз с глобальной базой данных угроз FortiGuard.
- Используя функцию «Отчеты», можно создавать кастомизированные отчеты по данным из журналов. FortiAnalyzer имеет в своем функционале более 30 встроенных шаблонов, готовых к использованию.
- Обработчики событий определяют, какие сообщения нужно извлечь из журналов и отобразить в Event Management. Можно настроить обработчики событий на генерацию событий для определенного устройства, для всех устройств или для локального устройства FortiAnalyzer. Можно настроить систему на отправку предупреждений о срабатывании на адрес электронной почты, SNMP-сообщество или сервер syslog.
- FortiAnalyzers NOC-SOC – это центр управления, который помогает защитить общую сеть путем предоставления журнала действий и данных об угрозах. SOC помогает защитить вашу сеть, веб-сайты, приложения, базы данных, серверы и центры обработки данных и другое оборудование благодаря централизованному мониторингу и осведомленности об угрозах, событиях и сетевой активности при использовании заранее заданных консолей и виджетов FAZ или настройке собственных, предоставляемых через единый интерфейс, для простой интеграции в архитектуру Fortinet Security Fabric.
- Извлечение данных из журнала используется для выгрузки архивных журналов с одного устройства FortiAnalyzer на другое. Это позволяет администраторам применять поисковые запросы и отчеты по историческим данным, которые могут быть необходимы для ретроспективного анализа.
- Режим коллектора - на различных устройствах FortiAnalyzer можно применить режимы работы «Анализатор» и «Коллектор» и заставитьустройства работать совместно для повышения общей
- производительности при получении журналов, их анализе и формировании отчетов. Когда FortiAnalyzer находится в режиме Коллектор, его основной задачей является пересылка журналов подключенных устройств на Анализатор и архивирование. Анализатор делегирует функции сбора журналов на Коллектор, чтобы иметь возможность сосредоточиться на анализе данных и генерации отчетов.
- Индикаторы компрометации (IOC) содержат список конечных узлов, осуществлявших подозрительную деятельность в Интернете. Предоставляется сводная информация об IP-адресе, имени узла, группе, ОС, общий рейтинг угроз, вид на карте и общее количество угроз. Можно просмотреть подробные сведения об угрозе. Чтобы генерировать индикаторы компрометации, FortiAnalyzer сравнивает журнал веб-фильтра каждого конечного пользователя со своей базой данных об угрозах. При обнаружении совпадений - конечному пользователю присваивается рейтинг угрозы. FortiAnalyzer объединяет рейтинги угроз для конечного пользователя и формирует сводный итоговый индикатор компрометации для конечного пользователя. Сводные данные по индикаторам компрометации создаются с помощью веб-фильтра UTM устройств FortiGate и подписки FortiAnalyzer на обновления FortiGuard с целью синхронизации локальной базы данных угроз с глобальной базой данных угроз FortiGuard.
Есть резервные источники питания с возможностью горячей замены.