FortiSoC é um serviço de assinatura que permite orquestração de segurança, automação e resposta (SOAR) e recursos de gerenciamento de informações e eventos de segurança (SIEM) no FortiAnalyzer.
Os recursos de SIEM do FortiAnalyzer analisam, normalizam e correlacionam os logs de produtos Fortinet e o log de eventos de segurança de hosts Windows e Linux (com integração do Fabric Agent).
A análise é predefinida pelo FortiAnalyzer e não requer configuração manual pelos administradores.
Os logs do SIEM são exibidos como logs do Fabric em Log View e podem ser usados ao gerar relatórios. Consulte Tipos de registros coletados para cada dispositivo.
O FortiSoC fornece recursos de gerenciamento de incidentes com automação de manual para acelerar a resposta a incidentes.
Quando o FortiAnalyzer tem uma licença de assinatura válida, o módulo FortiSoC é ativado e os administradores podem acessar os recursos do SOAR.
A automação de tarefas pode ser configurada por analistas do SOC usando manuais que consistem em um gatilho e sequência de ações automatizadas.
Os manuais podem ser criados do zero ou usando um dos modelos predefinidos. Os conectores de tecido melhoram ainda mais a funcionalidade do FortiSoC, permitindo que os manuais executem tarefas usando dispositivos conectados, incluindo FortiOS e FortiClient EMS.
Playbooks, Incidentes e Eventos
O FortiSOC inclui vários painéis para visualização de informações sobre playbooks, incidentes e eventos.
Playbooks
O painel Playbooks inclui:
| Total de playbooks executados | O número total de playbooks executados |
| Total de ações executadas nos playbooks | O número total de ações (tarefas) do playbook executadas. |
| Playbooks Executados | O número de vezes que cada playbook foi executado. |
| Overall Time Saved | O tempo estimado economizado pelos administradores resultante da automação do FortiSOC. |
| Total de playbooks e ações executadas | A timeline of the number of playbooks and actions run for each day. Both actions and playbooks can be toggled on or off in the graph by clicking the corresponding name below the graph. |
Incidentes
| Total de Incidentes | Exibe o número total de incidentes criados por status. |
| Incidentes não resolvidos | Exibe o número total de incidentes não resolvidos (não fechados) por gravidade. |
| Linha de tempo dos incidentes | Discriminação do total de incidentes por tendência de categoria por dia. |
Eventos
| Total de eventos gerados / mitigados / não tratados | O número total de eventos com o status Gerado / Mitigado / Não tratado criado pelo FortiAnalyzer. |
| Eventos por Gravidade | O número total de eventos por gravidade. |
| Principais eventos por tipo | Discriminação do total de eventos por tipo. |
| Principais eventos por handler | Detalhamento do total de eventos por handler de eventos. |
Threat Hunting
O FortiSoC inclui o painel Threat Hunting, que oferece um painel de análise SOC usando o banco de dados SIEM.
O Threat Hunting usa dados armazenados em cache para permitir que os analistas do SOC façam uma pesquisa detalhada dos logs em campos de interesse.
Para visualizar o painel do Threat Hunting, vá para FortiSoC> Threat Hunting.
O painel do Threat Hunting inclui um gráfico de contagem de log e uma tabela de análise de log SIEM.
Para alterar o intervalo de tempo exibido, selecione um tempo na lista suspensa no canto superior esquerdo do painel.
Você pode configurar intervalos de tempo personalizados selecionando Últimos N minutos, Últimas N horas ou Últimos N dias.
Aplique filtros ao painel usando Adicionar filtro ou clicando com o botão direito em um valor na tabela e selecionando o filtro correspondente.
Apenas os logs que correspondem ao intervalo de tempo e filtro selecionados são exibidos na tabela de análise de log do SIEM.
Você pode alternar entre o modo claro e o modo escuro do tema do painel usando o botão Modo escuro na barra de ferramentas.
Usando o gráfico de contagem de log
Um gráfico exibindo a contagem total do registro durante o intervalo de tempo especificado é apresentado na parte superior do painel do Threat Hunting.
Você pode aumentar e diminuir o zoom no intervalo de tempo exibido usando a roda de rolagem do mouse ou ajustando a barra de tempo abaixo do gráfico.
Você pode ajustar a barra de tempo arrastando as barras de início e parada em qualquer lado do intervalo de tempo selecionado ou clicando e arrastando todo o intervalo de tempo para a esquerda ou direita.
Apenas os logs exibidos dentro do período de tempo visível no gráfico são mostrados na tabela de análise de log do SIEM.
Usando a tabela de análise de log SIEM
A tabela de análise de log SIEM contém uma lista de campos de interesse no menu à esquerda, bem como a tabela de análise.
Você pode selecionar um campo no menu esquerdo para visualizar os dados correspondentes na tabela.
Clique duas vezes em um item da tabela para abrir a página de detalhamento do log que exibe informações detalhadas do log.
Este recurso inclui as mesmas funções que estão disponíveis na Visualização de log, incluindo o filtro da barra de pesquisa, filtro de tempo, configurações de colunas, filtro de clique com o botão direito e muito mais.
Saiba mais sobre SOC DANRESA Fortinet lendo os artigos relacionados
FortiAnalyzer com FortiSOC na Gestão, Automação e Resposta a Incidentes
FortiSOC – 10 funções-chave desempenhadas pelo SOC
FortiSOC – Modelos, Benefícios, e Desafios do SOC
comercial@danresa.com.br | (11) 4452-6448
www.danresa.com.br
Chat Online neste site!
A DANRESA Security and Network Solutions é uma Consultoria de Segurança da Informação que se destaca por prover Soluções Completas em Segurança, Infraestrutura de Redes e Comunicação de TI, desde 1998.
- Revenda Platinum da Fortinet.
- NSE8 Fortinet Network Security Expert.
- Atuação nos mercados Enterprise, Telcos e Data Centers.
- Projetos e cases de sucesso SD-WAN, Secure Access, Security Cloud, VoIP, Advanced Threat Protection e todos os componentes do Security Fabric da Fortinet.
- SNOC e Suporte Especializado 7x24x365, DevSecOps, Instalações em Massa, Equipe de Engenheiros, Analistas e Integradores Certificados, Metodologia de Projetos PMI.
- Maior diversidade de produtos Fortinet instalados em clientes.
- Parceira Oficial de Produtos e Soluções de Segurança de TI dos Fabricantes
| A Partner of |
|
