Эффективный мониторинг решений Fortinet с помощью Splunk

Владельцы инфраструктуры (причем не только ИБ) на устройствах Fortinet, которые давно задумывались как реализовать комплексный мониторинг, могут порадоваться! Есть несколько решений данной задачи. Про них и составили обзор.

В обзоре представлены варианты реализации комплексного мониторинга решений Fortinet на платформе Splunk. Вот варианты интеграции этих интересных решений, которые предлагаются к рассмотрению:

  1. Использование специализированного приложения Fortinet FortiGate App for Splunk.
  2. Интеграция модуля Fortinet FortiGate Add-On for Splunk в SIEM-приложения Enterprise Security.
  3. Применение функциональности комплексной системы мониторинга SMART Monitor.

Выбор конкретной реализации зависит от специфики решаемой задачи.

Ниже подробнее описаны все три способа «подружить» устройства Fortinet со Splunk и реализовать централизованный мониторинг.

Fortinet FortiGate App for Splunk

Приложение Fortinet FortiGate App for Splunk, выпущенное в комбинации с мировым лидером в области анализа машинных данных платформой Splunk, реализует концепцию SIEM. Это законченное функциональное решение для конечного пользователя, в котором реализованы поисковые запросы, отчеты и уведомления от широкого ряда физических и виртуальных межсетевых экранов FortiGate.

Функции приложения:

  • Категоризация, сортировка и дедубликация выявленных угроз безопасности.
  • Использование моделей данных (инструмент Pivot) для мгновенного и точного определения уязвимостей в различных доменах безопасности с геолокационной привязкой.
  • Быстрый сквозной поиск по собранным событиям безопасности, становящийся возможным в результате использования централизованного хранилища.

Преимущества использования приложения:

  • Централизованное хранение логов и визуализация данных со всех интегрированных устройств Fortinet.
  • Упрощение мониторинга и расследования инцидентов за счет использования преднастроенных в приложении метрик.
  • Усиление защиты от угроз при работе с комплексными отчетами.
  • Осуществление мониторинга за устройствами Fortinet в режиме реального времени.
  • Уменьшение времени реакции и ускорение процесса восстановления с применением информации в режиме реального времени, поступающей от инфраструктуры межсетевых экранов Fortinet.

Интерфейс

Меню приложения радует изобилием полезных пунктов. Например, на рисунке ниже, видно выпадающее меню Fortinet Network Security, в котором можно выбрать для анализа различные типы трафика. Естественно, пункты начинают работать, когда в анализируемой инфраструктуре появляется устройство-источник Fortinet соответствующего типа.

Как видно из рисунка, в оперативный анализ можно включить и DLP Logs, если в сети действует FortiGate с модулем FortiOS DLP и настроенными на анализ трафика сенсорами. Это очень интересная функциональность для последующей корреляции с логами файлового сервера или корпоративного портала. Будем тестировать и покажем на нашем решении Smart Monitor результаты.

Итак, основные пункты меню приложения следующие:

  • Fortinet Network Security. Самый богатый на подпункты элемент! Именно с обзорной панели этого пункта меню начинается знакомство с приложением. На ней показано общее количество контролируемых устройств, виртуальные домены, сетевые сессии в режиме реального времени, представлена диаграмма распределения трафика по протоколам, а также график выявления уязвимостей (среднего и высокого уровня критичности). Внизу страницы можно увидеть распределение сетевую активность с геолокационной привязкой.

В данном меню собраны все источники трафика, которые сгруппированы в подпункт Search Fortigate Data. Гибкий поиск возможен по следующим типам трафика:

  • Сетевой трафик, пропускаемый через межсетевой экран;
  • Трафик от IPS;
  • Трафик от потокового антивируса;
  • Трафик от приложений;
  • Журналы web-фильтрации;
  • Журналы антиспам;
  • Данные от DLP;
  • События от NetScan;
  • Системные события устройств Fortinet;
  • Логи VPN;
  • События аутентификации;
  • События от беспроводной сети.
  • Traffic. Консоль для анализа сетевого трафика, с фильтрами по устройствам, виртуальным доменам, источникам и назначениям, пользователям, протоколам и интерфейсам. Без написания запросов с использованием комбинации фильтров можно построить любой интересующий исследователя отчет и сохранить его в pdf или сразу распечатать.

  • Unified Thread Management. Централизованная консоль мониторинга выявленных угроз безопасности. Тут важно отметить, что угрозы определяются вне приложения Fortinet FortiGate App, они выявляются в подключенных к Splunk устройствах и их модулях (см. перечень анализируемого трафика выше). Чем больше источников подключено, тем интереснее аналитика. В этом разделе приложения основная задача – удобная централизованная консоль визуализации по всем выявленным угрозам от всех типов источников. Информация сгруппирована в информационные панели:
    • «График трудностей», показывающий число обнаруженных угроз уровня medium и critical на временной шкале (Threat By Severity);
    • Диаграмма атак, зафиксированных на IPS;
    • Распределение угроз по источникам их обнаружения;
    • Группировка обнаруженных угроз по IP источника и назначения;
    • Распределение угроз по пользователям, к которым они применимы и по сервисам, на которые они воздействуют.

Узнать подробности о выявленных уязвимостях можно, кликнув на заинтересовавший вас элемент диаграммы. Провалиться механизм drill-down позволяет до сырых событий, которые пришли в приложение от того или иного источника. Хотя после попадания в систему события уже нельзя назвать совсем сырыми – Splunk в автоматическом режиме извлекает из них поля, по которым возможны любые выборки и анализ. Так, например, в поле attackname указывается название сработавшей сигнатуры, относящейся к выявленной угрозе.

Корреляции между найденными угрозами не строится. Это задача характерна для решения класса SIEM, которое будет описано ниже.

  • Wireless. В данном разделе приложения можно в режиме реального времени следить за активностью в беспроводной сети. Тут указаны Top-10 потребителей беспроводного трафика, распределение по беспроводным устройствам и виртуальным доменам.
  • System. Раздел отвечает за представление информации о событиях, связанных с администрированием устройств Fortinet и диагностической информации о них. Например, можно отобрать события установления и разрыва ssh-сессий конкретным пользователем, можно построить график со статистикой диагностических показателей устройств. Тут же можно увидеть знакомые всем любителям мониторинга графика загрузки процессора, ОЗУ, число открытых сессий и прочие показатели по любому выбранному устройству.

  • Authentication.
    Этот раздел про аутентификацию пользователей на сетевых устройствах Fortinet. Вместе с событиями login есть и события выхода из систем, что дает исходную информацию о длительности сессий и может случить основанием для построения биллинг-отчетов по сотрудникам. Ну и ответ на извечный вопрос «Кто это сделал?», применительно к определенному устройству или виртуальному домену.

  • VPN.
    На этой панели анализируется задействованная пропускная способность VPN-сессий с разделением на входящий и исходящий трафик, представлен график соединений на временной шкале. Можно построить аналитику по пользователям, видам VPN-соединений, терминирующим устройствам.

Fortinet FortiGate Add-On for Splunk

Модуль Fortinet FortiGate Add-On for Splunk является техническим компонентов (Add-on) к премиальному приложению Enterprise Security. Это приложение превращает платформу Splunk в специализированное SIEM-решение, с готовыми отчетами, корреляционными правилами и системой управления инцидентами безопасности.

В Enterprise Security одной из полезных функций является нормализация данных и распределение их по нескольким логическим группам – события аутентификации, события разграничения доступа и пр. Модуль Fortinet FortiGate Add-On for Splunk позволяет разложить данные от всех устройств Fortinet по полочкам SIEM.

Ключевые функции модуля:

  • Интеграция событий аутентификации и доступа от Fortinet-устройств с Splunk Enterprise Security Access Center. К регистрируемым событиям можно отнести аутентификацию администраторов и пользователей, данные о установлении VPN-сессий и пр.
  • Добавление событий антивирусных модулей FortiGate в Splunk Enterprise Security Endpoint Malware Center.
  • Нормализация и запись в централизованное хранилище Enterprise Security логов трафика, IPS, журналов конфигурации система, событий Web-фильтрации и других данных с устройств Fortinet.

Модуль Fortinet FortiGate Add-On for Splunk включает так называемую Общую информационную модель (common information model, CIM), и сохраненные корреляционные запросы, которые можно использовать не только в приложении Enterprise Security, но и в других приложениях для Splunk.

Интеграция средствами SMART Monitor

Еще одним вариантом подключить данные с Fortinet-устройств является использование возможностей комплексной системы мониторинга SMART Monitor. Фактически, SMART Monitor представляет собой приложение на Splunk, как и Fortinet FortiGate App for Splunk. При этом, для подключения к источникам, как раз используется Add-on Fortinet FortiGate Add-On for Splunk.

Сфера применения SMART Monitor существенно шире. Сейчас решение позиционируется как система комплексного мониторинга, которая предназначена различным подразделениям – ИТ, ИБ и бизнесу. В приложении реализована концепция иерархии индикаторов. Для примера, высокоуровневым индикатором может быть состояние всей ИТ-инфраструктуры. Тогда устройства Fortinet будут встраиваться на следующих уровнях декомпозиции, как устройства защиты периметра, антивирусные решения и пр.

Пример дерева индикаторов, поясняющий эту концепцию представлен на рисунке.

Принципиальным отличием приложения SMART Monitor от рассмотренного выше приложения Fortinet FortiGate App for Splunk заключается в том, что устройства Fortinet в SMART Monitor встраиваются в общую комплексную систему мониторинга. И можно прослеживать интересные корреляционные зависимости между событиями на этих устройствах и других компонентах ИТ-инфраструктуры.

Например, на следующих снимках экрана показана возможность отсекать пользователей которые устанавливают VPN-сессии, а сами прошли через СКУД, т.е. находятся в офисе. такой случай говорит о возможной компрометации устройства, с которого устанавливается VPN, т.к. сотрудник в офисе сидит внутри сети, и в VPN-доступе не нуждается. В этом примере отдельно можно прикрутить фильтрацию на тип устройства, чтобы отсечь срабатывания на легитимные подключения пользователей по мобильным устройствам. Если это, конечно, легитимно :).

В терминах системы описанный случай генерирует инцидент безопасности, который можно увидеть на специальном инструменте «Диаграмма состояний».

Из рисунка видно, что изменение состояния оборудования Fortinet с нормального на статус «предупреждение» повлекло корректировку и следующего в иерархии показателя Сетевое оборудование. Если «провалиться» в инцидент Fortinet, то мы увидим другую картину, следующего уровня декомпозиции

На нем видно, что на состояния оборудования повлияло срабатывания правила одновременного входа по VPN и СКУД. Подробная информация доступна после проваливания с ячейки инцидента в диаграмму Менеджер инцидентов.

Вывод

В руках пользователей и разработчиков появились мощные инструменты для мониторинга и анализа данных с источников Fortinet. Реализуемые с использованием этих инструментов системы будут обладать отличными возможностями для обеспечения проективного подхода в области информационной безопасности и ИТ. Выбор за вами.

Полезные материалы