فورتی آنالایزر | FortiAnalyzer

با بزرگتر شدن سازمان‌ها و به دنبال آن، افزایش دارایی‌های اطلاعاتی، اهمیت ثبت وقایع و رویدادنگاری دوچندان شده است و نظارت روزانه و منظم لاگ‌ها به یکی از وظایف اصلی مدیران شبکه و کارشناسان امنیت تبدیل شده است. وقایع امنیتی یا همان لاگ‌ها که تمام اتفاقات سیستمی در آن‌ها ثبت می‌شود، باارزش‌ترین دارایی‌های زیرساخت‌های فناوری اطلاعات در هر کسب و کاری هستند. اطلاعات ارزشمند موجود در این فایل‌ها، در حل مشکلات نرم‌افزاری و سخت‌افزاری و همچنین شناسایی منشا حملات سایبری به سازمان‌ها کمک میکنند. اولین چالشی که در این مسیر وجود دارد، این است که تمامی لاگ‌ها باید در یک مکان واحد و قابل دسترسی جمع‌آوری شوند. اما متمرکز کردن لاگ‌ها به تنهایی کافی نیست و برای درک و بهره‌برداری از این اطلاعات ارزشمند، نیاز به یک ابزار مناسب برای تجزیه و تحلیل دارید.

اهمیت تجزیه و تحلیل وقایع امنیتی

مطالعات اخیر نشان داده است که تجزیه و تحلیل وقایع امنیتی و نظارت مداوم بر آن‌ها نقش مهمی در جلوگیری از نشت اطلاعات دارد. با این وجود، اغلب افراد بر این باور هستند که استفاده فایروال‌ها و سیستم‌های پیشگیری از نفوذ برای جلوگیری از نشت اطلاعات کافی است!

باید به این نکته توجه داشته باشید که، موثرترین راه شناسایی تهدیدات سایبری و پیشگیری از وقوع این رخدادها، جمع‌آوری وقایع امنیتی و تجزیه و تحلیل آن‌ها است. در واقع، یک معماری امنیتی یکپارچه با قابلیت تجزیه و تحلیل و خودکارسازی فرآیندها، می‌تواند گستره دید شما را نسبت به آن‌چه که در سراسر سازمان اتفاق می‌افتد به طرز چشمگیری بهبود ببخشد.

فورتی ‌نت به عنوان یکی از پیشروترین شرکت‌های امنیتی در دنیا، محصول بی‌نظیر فورتی آنالایزر (FortiAnalyzer) را دقیقا برای همین منظور ارائه کرده است. این محصول، به عنوان بخشی از راهکار جامع Fortinet Security Fabric، امکان تجزیه و تحلیل وقایع امنیتی و خودکارسازی فرآیند پاسخگویی به تهدیدات را فراهم می‌کند. اگر از محصولات فورتی ‌نت در سازمان خود استفاده می‌کنید بدون شک به این ابزار مفید احتیاج پیدا می‌کنید.

معرفی فورتی آنالایزر (FortiAnalyzer)

• اگر از طرفداران پر و پا قرص محصولات شرکت فورتی‌ نت باشید، به احتمال زیاد متوجه شده‌اید که سیاست این شرکت تولید تجهیزات امنیتی جداگانه برای اهداف مختلف است. فورتی ‌نت برای مدیریت لاگ‌های ارسالی از محصولات خود مانند فایروال نسل بعدی فورتینت از جمله فورتی گیت ۱۰۰۰، فورتی گیت ۲۰۰۰، فورتی گیت ۳۰۰۰ و فورتی گیت ۴۰۰۰ یک راهکار منحصر به فرد را ارائه کرده است.


• محصول فورتی آنالایزر (FortiAnalyzer) به صورت خاص برای جمع‌آوری، ذخیره‌سازی و تحلیل وقایع امنیتی تجهیزات فورتی ‌نت (مخصوصا فورتی گیت(FortiGate) و فورتی وب (FortiWeb) و همچنین ایستگاه‌های کاری ارائه شده است. تمام این لاگ‌ها از سراسر شبکه جمع‌آوری شده و به صورت مجتمع در قالب یک کنسول گرافیکی واحد نمایش داده می‌شوند.
• FortiAnalyzer (فورتی آنالایزر) نه تنها به مدیران شبکه و امنیت، بینش عمیقی نسبت به تهدیدات جاری و وقایع امنیتی سازمان می‌دهد، بلکه با ردیابی دقیق حملات، تعیین می‌کند که چه مواردی نیاز به واکنش فوری و رسیدگی دارند.
• محصول FortiAnalyzer به سه شکل «سخت‌افزاری»، «ماشین مجازی» و همچنین به صورت «ابری» عرضه می‌شود. جالب است بدانید که نسخه‌های مجازی محصول فورتی آنالایزر (FortiAnalyzer) از لحاظ امکانات، هیچ تفاوتی با نسخه سخت‌افزاری ندارند.

قابلیت‌های فورتی‌آنالایزر

SOC-view

در مرکز عملیات امنیت (SOC)، داشبوردهای مختلفی در مانیتورها نمایش داده می‌شوند،FortiView یک سیستم مانیتورینگ جامع به شما ارائه می‌دهد تا به صورت بلادرنگ نسبت به جریان داده‌ها در شبکه‌ها نظارت داشته باشید. ماژول FortiView تهدیدات را رصد کرده و داده‌ها را در سطوح مختلفی فیلتر نموده و بر روی فعالیت‌های مدیریتی نظارت دارد.

مدیریت حوادث و رخدادها

ویژگی پاسخگویی خودکار به حادثه در FortiAnalyzer، به تحلیل‌گران امنیتی این امکان را می‌دهد که به سرعت از وقوع یک رخداد امنیتی در سازمان با خبر شوند و با شناسایی نقاط به خطر افتاده، اقدامات لازم در جهت پاسخگویی به حادثه را انجام دهند. اطلاعات مربوط به رخدادهای امنیتی، در قالب یک جدول زمانی (Timeline) با قابلیت مرور تاریخچه رخدادها برای کاربر نمایش داده می‌شوند.

تشخیص تهدیدات بر اساس نشانگرهای تهدید (IOC)

این سرویس، فعالیت‌های مشکوک در شبکه و سیستم‌عامل‌ها را شناسایی می‌کند. تحلیل‌گر امنیت بر اساس اطلاعات این سرویس می‌تواند تعیین کند که آیا به سیستم نفوذ شده است یا خیر. پایگاه داده نشانگرهای تهدید توسط شرکت فورتی‌ نت به طور میانگین روزانه با ۵۰۰ هزار IOC مختلف به‌روزرسانی می‌شود.

جمع آوری اطلاعات مربوط به دارایی‌های سازمان

اطلاعات مربوط به دارایی‌های نرم‌افزاری و سخت‌افزاری سازمان توسط ماژول NAC در فورتی آنالایزر (FortiAnalyzer) جمع‌آوری می‌شود. بعدا از این اطلاعات برای خودکارسازی فرآیند جمع‌آوری لاگ‌ها، تحلیل و ایجاد همبستگی (Correlation) بین آن‌ها استفاده می‌شود.

FortiAnalyzer Playbooks

این ویژگی توانایی تیم‌های امنیتی در فرآیند رسیدگی به رخدادهای امنیتی را افزایش می‌دهد و با الگوهای از پیش تعریف شده به آن‌ها کمک می‌کند تا به سرعت اقدامات لازم از قبیل شناسایی میزبان‌های آسیب دیده، مسدودسازی IPهای مشکوک و … را انجام دهند.

گزارش‌دهی

بیش از ۳۹ الگوی از پیش تعریف شده و ۷۰۰ نمودار گرافیکی مختلف برای گزارش‌گیری از لاگ‌ها و پایگاه داده FortiAnalyzer وجود دارد. گزارشات می‌توانند در قالب فایل‌های PDF، HTML، CSV و XML ذخیره شوند و قابلیت ارسال خودکار از طریق ایمیل نیز وجود دارد.

نظارت بر SD-WAN

در صورت استفاده از تکنولوژی SD-WAN در سازمان، فورتی آنالایزر (FortiAnalyzer) داشبوردهایی را برای نظارت بر عملکرد ارتباطات SD-WAN، رخدادهای امنیتی مرتبط با آن، میزان تاخیر در ترافیک و اتلاف پکت‌ها فراهم کرده است.

حالت‌ Analyzer-Collector

محصول فورتی آنالایزر شرکت فورتی نت در دو حالت Analyzer و Collector قابل پیکربندی است. اگر در حالت Collector پیکربندی شود وظیفه اصلی آن، هدایت لاگ‌ها به سرور مرکزی (Analyzer) است. این باعث می‌شود Analyzer تنها به وظیفه تجزیه و تحلیل لاگ‌ها و گزارش‌گیری تمرکز داشته باشد و بدین ترتیب عملکرد آن به طرز چشمگیری افزایش خواهد یافت.

از جمله سایر قابلیت‌های FortiAnalyzer می‌توان به هدایت لاگ‌ها به سرور Syslog و سایر نرم‌افزارهای شخص ثالث که از فرمت CEF پشتیبانی می‌کنند، بایگانی لاگ‌ها و گزارشات تحلیلی بر اساس بازه زمانی و خط مشی مبتنی بر دامنه‌های مدیریتی (ADOM) اشاره کرد.

چرا به فورتی آنالایزر FortiAnalyzer نیاز داریم؟

یکی از مهمترین دلایل استفاده از FortiAnalyzer قابلیت یکپارچه‌سازی لاگ‌ها، تحلیل آن‌ها و گزارش‌گیری در یک نقطه مرکزی است. FortiAnalyzer می‌تواند انواع مختلفی از داده‌ها را از تجهیزات فورتی‌ نت در سطح شبکه جمع‌آوری کند و آن‌ها را پس از پردازش، در قالب یک کنسول مرکزی نمایش دهد. این داده‌ها می‌توانند شامل ترافیک شبکه، رخدادهای امنیتی، اطلاعات مربوط به بدافزارها و حملات سایبری، ایمیل‌ها و … باشند. بنابراین با کمک FortiAnalyzer دیگر نیازی به جستجوی دستی در بین هزاران لاگ و یا مراجعه به تجهیزات مختلف و بررسی لاگ آن‌ها نخواهید داشت. این ویژگی موقع پیدا کردن منشا یک حمله سایبری بسیار کارآمد خواهد بود. همچنین فورتی آنلایزر با ارائه امکاناتی از قبیل قرنطینه‌سازی فایل‌های مخرب و ارزیابی آسیب‌پذیری‌ها، زمان لازم برای انجام این قبیل اقدامات امنیتی در سازمان را به شدت کاهش می‌دهد.

فورتی آنالایزر چگونه به افزایش دامنه دید در شبکه کمک می‌کند؟

به کمک FortiAnalyzer می‌توانید اقداماتی از قبیل تحلیل وقایع امنیتی، اقدامات فارنزیکی، گزارش‌گیری، بایگانی محتوا، داده کاوی، قرنطینه سازی فایل‌های آلوده و مدیریت آسیب‌پذیری‌ها را از طریق یک کنسول مرکزی انجام دهید. در واقع توانایی این محصول در متمرکزسازی رخدادهای جمع‌آوری شده از تجهیزات فورتی‌نت و ایجاد همبستگی بین آن‌ها، تصویری جامع از تهدیدات سازمان ارائه می‌دهد.