Для чего нужен FortiAnalyzer: централизованный лог-менеджмент и аналитика безопасности

FortiAnalyzer – это платформа централизованного сбора, хранения и анализа логов безопасности от компании Fortinet. Он получает события от устройств экосистемы Fortinet: FortiGate, FortiSwitch, FortiAP, FortiClient, FortiMail и других – и превращает поток «сырых» данных в понятную систему, которая рассказывает о том, что происходит в сети.

Что такое FortiAnalyzer

FortiAnalyzer собирают до 500 ГБ логов в сутки с тысяч устройств. Ни один администратор не в состоянии разобрать такой объем вручную. FortiAnalyzer делает это автоматически.

Это аппаратное устройство (физический сервер в стойку), который необходим компаниям с жесткими требованиями к размещению данных. Также есть виртуальная машина (FortiAnalyzer VM). Она разворачивается на VMware, Hyper-V, KVM. Доступна и облачная версия (FortiAnalyzer Cloud), которая управляется через Fortinet, не требует собственной инфраструктуры.

Почему разрозненные логи – это проблема

Типичная корпоративная сеть выглядит так: 

• 5 межсетевых экранов; 
• 20 коммутаторов; 
• 50 точек доступа Wi-Fi; 
• почтовый шлюз; 
• веб-прокси. 

У каждого – свои логи, формат, интерфейс. Это порождает 3 системные проблемы:

1. Слепые зоны. Атака редко затрагивает одно устройство. Злоумышленник входит через Wi-Fi, перемещается по сети, добирается до сервера. Увидеть всю цепочку, если исследовать логи каждого устройства отдельно, почти нереально.
2. Время реакции. Среднее время обнаружения утечки данных составляет 194 дня. И это не из-за того, что атаки сложные, а потому, что сигналы об атаке есть в логах. Но их никто не собрал в одном месте и не сопоставил.
3. Соответствие требованиям. Регуляторы (ЦБ РФ, ФСТЭК или международный стандарт PCI DSS) требуют хранить логи в течение определенного времени и предоставлять их по запросу. С разрозненными источниками это превращается в отдельный проект.

FortiAnalyzer закрывает все 3 проблемы.

Как работает централизованный сбор логов

Устройства Fortinet отправляют логи на FortiAnalyzer по зашифрованному каналу. Поддерживаются протоколы Syslog и OFTP (Own FortiGate Transfer Protocol). OFTP – более предпочтительный вариант для устройств Fortinet, так как он обеспечивает сжатие данных и гарантирует их доставку.

FortiAnalyzer принимает события нескольких типов:

• Traffic logs – записи о каждом сетевом соединении: кто, куда, когда, сколько данных передал;
• Threat logs – срабатывания IPS, антивируса, веб-фильтрации;
• Event logs – системные события: входы в систему, изменения конфигурации, перезагрузки;
• Content logs – данные о содержимом: URL, приложения, файлы.

Такой комплексный подход повышает эффективность контроля.

Нормализация данных

Каждое устройство генерирует логи в своем формате. FortiAnalyzer приводит их к единому стандарту. После нормализации события от FortiGate, FortiSwitch и FortiAP можно сравнивать напрямую и строить сквозные корреляции.

Сжатие и хранение

Логи занимают много места. FortiAnalyzer сжимает данные с коэффициентом до 10:1. Это означает, что 1 ТБ физического дискового пространства хранит до 10 ТБ «сырых» логов. На аппаратных моделях старшего класса (FortiAnalyzer 3000F) можно хранить до 64 ТБ данных.

Аналитика безопасности: от логов к выводам

Собрать логи – это половина задачи. Вторая половина – извлечь из них смысл. Этим также занимается FortiAnalyzer.

Корреляция событий

FortiAnalyzer сопоставляет события из разных источников и ищет паттерны, характерные для атак. Например, несколько неудачных попыток входа с одного IP, затем успешный вход и подключение к нетипичному серверу. Каждое событие отдельно – не критично. Если их объединить и проанализировать, то становится понятно, что это признак взлома аккаунта и последующей разведки.

Встроенный движок корреляции работает на основе правил FortiGuard. Они обновляются вместе с базами угроз Fortinet.

Готовые отчеты и дашборды

FortiAnalyzer поставляется с более чем 350 готовыми шаблонами отчетов. Среди них:

1. Топ угроз за период.
2. Наиболее атакуемые хосты.
3. Активность пользователей по приложениям и сайтам.
4. Отчеты для комплаенс: PCI DSS, ISO 27001, GDPR, HIPAA.

Дашборды настраиваются под определенные задачи. Руководитель службы безопасности видит сводку по угрозам. Сетевой администратор – загрузку каналов и аномалии трафика. Аудитор получает информацию по соответствию требованиям контролирующих органов.

FortiView: визуализация угроз в реальном времени

FortiView – встроенный инструмент визуализации. Он показывает топ источников угроз на карте мира, активные соединения в реальном времени, поведение определенных пользователей и устройств.

Если кликнуть на любой элемент, то можно перейти от страны к IP-адресу, от него к конкретному устройству, а от него к определенному событию с полным пакетом данных.

Расследование инцидентов: как FortiAnalyzer ускоряет работу

Если инцидент уже произошел, то каждая минута на счету. И FortiAnalyzer предоставляет инструменты для быстрого расследования.

Поиск по логам

Полнотекстовый поиск по всем собранным данным позволяет найти все события, связанные с конкретным IP, пользователем, доменом или сигнатурой угрозы за любой период времени.

Пример запроса: «Покажи все соединения с IP 185.220.101.45 за последние 30 дней». Результат по нему будет отображен через секунды, даже если логов миллиарды.

Построение таймлайна

FortiAnalyzer строит хронологическую последовательность событий. Это позволяет восстановить последовательность атаки: 

• точку входа; 
• маршрут перемещения по сети; 
• момент эксфильтрации данных.

Именно такой таймлайн нужен при расследовании инцидента, для составления отчета. Это облегчает взаимодействие с руководством компании, организации, предприятия или с регулятором.

Playbook и автоматизация реагирования

В FortiAnalyzer 7.x появилась функция Incident Management с поддержкой плейбуков. Это заранее прописанные сценарии реагирования:

1. Если обнаружена компрометация аккаунта, то автоматически создается тикет, отправляется уведомление ответственному лицу, блокируется аккаунт на FortiGate через Fabric API.
2. Если обнаружена C2-активность (связь с командным сервером), то IP блокируется на всех фаерволах в периметре.

Это сокращает время реакции до нескольких минут.

Управление несколькими площадками: MSSP-сценарий

FortiAnalyzer поддерживает мультитенантную архитектуру, позволяя одному устройству обслуживать несколько изолированных организаций. Это критически важно для MSSP (Managed Security Service Provider). Российские MSSP-провайдеры активно используют эту модель: один физический сервер может обслуживать 30–50 клиентов среднего бизнеса, обеспечивая каждому доступ только к его данным.

Благодаря такой масштабируемости и глубокой автоматизации процессов, FortiAnalyzer решает задачу, которую не потянет ни один отдельный файрвол или система защиты. Он обеспечивает полную видимость того, что происходит в сети, в едином интерфейсе.

Централизованный лог-менеджмент – это базовый инструмент для любой организации, которая хочет понимать реальное состояние безопасности, а не догадываться о нем. FortiAnalyzer не просто хранит логи, он превращает их в информацию, на основе которой можно быстро принимать решения и действовать.