FortiSIEM to rozwiązanie wspomagające wykrywanie zagrożeń w czasie rzeczywistym poprzez krzyżowe powiązanie analityki centrum operacyjnego sieci (NOC) i centrum operacyjnego bezpieczeństwa (SOC). Wszystko to może być zarządzane i monitorowane poprzez jego ujednoliconą konsolę, co skraca czas potrzebny na wykrycie zagrożeń. Skalowalna konstrukcja FortiSIEM zapewnia, że używające go organizacje mogą bez zakłóceń przetwarzać coraz większe ilości danych o zdarzeniach i alertach.
FortiSIEM spełnia szerokie i złożone wymagania nowoczesnego przedsiębiorstwa w zakresie analityki bezpieczeństwa wymaganej do realizacji wizji architektury. Rozwiązanie stało się również przełomowym rozwiązaniem w zakresie konwergencji środowisk IT i OT, a ostatnie udoskonalenia obejmują:
- Rozszerzenie możliwości FortiSIEM w zakresie wykrywania i zarządzania aktywami OT,
- Nowe metody budowania zintegrowanego IT/OT CMDB,
- Dashboard’y MITRE ATT&CK zostały rozszerzone o ATT&CK dla przemysłowych systemów sterowania,
- Obsługa Threat Intelligence została rozszerzona o Dragos WorldView Industrial Threat Intelligence, dodając warstwę skoncentrowaną na OT do już bogatej usługi FortiGuard Indicators of Compromise (IOC) Threat Intelligence
FortiSIEM jest dostępny jako:
wydajne urządzenia sprzętowe, które spełniają nawet najbardziej rygorystyczne wymagania prawne,
urządzenia wirtualne, które można wdrożyć w środowiskach wirtualnych i chmurowych w celu uzyskania maksymalnej skalowalności i elastyczności,
usługa hostowana w chmurze, zapewniająca możliwości i funkcje wersji stacjonarnej, ale bez kosztów administracyjnych.
Rozwiązanie występuje zarówno w postaci dedykowanych urządzeń, jak i maszyny wirtualnej (wystarczy pobrać i uruchomić gotowy obraz – obsługiwane wersje wirtualizatorów to: Hyper-V, VMWare ESX(i), KVM, AWS):
- Jest to 64bitowa, ulepszona wersja systemu CentOS, zawierająca preinstalowane i prekonfigurowane pakiety FortiSIEM.
- Bardzo ważną zaletą rozwiązania w wersji maszyny wirtualnej jest skalowalność – użytkownik może w każdej chwili przydzielić większą ilość zasobów takich jak procesory, pamięć, czy dodatkowe miejsce na dysku. Producent nie nakłada tu żadnych ograniczeń. Dodatkowo można w celu zwiększenia wydajności dodawać kolejne maszyny: collectors oraz workers. Nie ma limitów odnośnie wielkości bazy Events DataBase czy też retencji danych.
- Minimalne wymagania dla supervisora:
- The minimum hardware requirements for a supervisor are, 4 Core, 3GHz,
- 64bit , 16 GB of RAM (24 GB is recommended), 200GB (80GB OS/App, 60GB CMDB, 60GB SVN/Config),
- Additional storage for the Events Database (500 EPS ~= 1TB/year)
- Performance data – PAN (500Devices ~=100GB/year)