FortiAnalyzer: per la gestione avanzata di log ed eventi nella tua rete

Cos'è e a cosa serve FortiAnalyzer?

Il FortiAnalyzer è una soluzione di sicurezza sviluppata da Fortinet, progettata per fornire una gestione avanzata dei log e degli eventi all’interno di una rete aziendale. È uno strumento centrale di analisi, raccolta e correlazione dei dati di sicurezza provenienti da vari dispositivi Fortinet, come firewall FortiGate, FortiMail, e FortiWeb, oltre a dispositivi di terze parti.

A cosa serve?

FortiAnalyzer ha lo scopo di migliorare la visibilità e il controllo delle reti, offrendo una panoramica dettagliata delle attività sospette e degli incidenti di sicurezza. I suoi principali utilizzi includono:

  • Raccolta e analisi dei log: memorizza ed elabora grandi quantità di dati registrati dai dispositivi di sicurezza.
  • Monitoraggio delle minacce: identifica comportamenti anomali e minacce in tempo reale, attraverso la correlazione degli eventi.
  • Reportistica: genera report dettagliati per conformità normativa, auditing, e valutazioni delle performance di sicurezza.
  • Incident response: fornisce strumenti per analizzare gli incidenti di sicurezza e intraprendere azioni correttive rapide.

 

Vantaggi

  1. Maggiore visibilità e controllo: permette una visione centralizzata degli eventi di rete, facilitando l’identificazione di potenziali minacce.
  2. Ottimizzazione delle operazioni di sicurezza: grazie alla correlazione automatizzata degli eventi, aiuta a ridurre il carico di lavoro manuale e a rispondere più rapidamente agli incidenti.
  3. Compliance e auditing: offre report personalizzati per soddisfare le normative di sicurezza e fornire evidenze dettagliate per audit interni o esterni.
  4. Scalabilità: può gestire facilmente grandi quantità di dati da più dispositivi, adatto a piccole imprese così come a grandi organizzazioni con reti complesse.

In sintesi, FortiAnalyzer è una piattaforma che non solo facilita la gestione e la sicurezza della rete, ma migliora anche la capacità di prevenire, rilevare e rispondere rapidamente alle minacce informatiche.

 

Event Handler

Gli Event Handler di FortiAnalyzer sono strumenti cruciali per il monitoraggio, la gestione e la risposta automatizzata agli eventi di sicurezza. Questi handler consentono di identificare, filtrare e gestire gli eventi di rete e di sicurezza provenienti dai dispositivi Fortinet, come FortiGate, FortiMail e altri, tramite regole e azioni personalizzate. Gli Event Handler forniscono una piattaforma per implementare politiche di sicurezza attive, automatizzando le risposte a specifici eventi o scenari che possono indicare potenziali minacce o anomalie.

Un Event Handler è una regola configurata all’interno di FortiAnalyzer che permette di rilevare specifici eventi o combinazioni di eventi attraverso i log ricevuti dai dispositivi di rete e di sicurezza. Quando un evento corrisponde ai criteri definiti, FortiAnalyzer esegue una serie di azioni automatiche, come inviare notifiche, generare allarmi o attivare procedure di risposta.

Ogni Event Handler è composto da:

  1. Criteri di filtro degli eventi: insieme di regole che specificano quali eventi devono essere monitorati. Questi criteri possono includere il tipo di attacco, la gravità dell’evento, l’origine e la destinazione, la firma dell’attacco (ad esempio un attacco IPS), e altro.
  2. Azioni automatiche: operazioni che vengono intraprese quando l’evento corrisponde ai criteri definiti, come:
    • Inviare un’email di avviso agli amministratori di rete.
    • Attivare allarmi visivi sulla console di gestione.
    • Eseguire comandi predefiniti per rispondere all’evento.
    • Isolare automaticamente un dispositivo compromesso.

Logica degli Event Handler

Funzionamento degli Event Handler

Gli Event Handler funzionano monitorando continuamente i log e gli eventi generati dai dispositivi di sicurezza connessi a FortiAnalyzer. Quando un evento soddisfa i criteri configurati, l’handler lo rileva e attiva una risposta in base alle regole predefinite. Questo processo consente di:

  • Rilevare e gestire le minacce in tempo reale: monitorando eventi critici come attacchi IPS, accessi non autorizzati, o anomalie nel traffico di rete.
  • Automatizzare le risposte di sicurezza: riducendo il tempo di reazione agli incidenti e minimizzando i rischi per la rete.
  • Personalizzare le notifiche: inviare avvisi a specifici team (SOC, NOC ecc.) o individui responsabili della sicurezza per un’azione tempestiva.

Eventi gestiti dagli Event Handler e relativi vantaggi

FortiAnalyzer può configurare Event Handler per una vasta gamma di eventi, tra cui:

  • Eventi di attacco IPS (Intrusion Prevention System): come tentativi di sfruttamento di vulnerabilità, rilevamenti di malware, attacchi brute-force.
  • Eventi di rete: traffico anomalo, violazioni di policy, cambiamenti di configurazione sui firewall.
  • Eventi di logon: accessi sospetti o non autorizzati da parte di utenti o dispositivi.
  • Eventi di sistema: errori critici o malfunzionamenti nei dispositivi di sicurezza o nei servizi di rete.
 

Vantaggi degli Event Handler in FortiAnalyzer

  1. Monitoraggio proattivo: gli Event Handler consentono di rilevare e rispondere a eventi di sicurezza in tempo reale, prima che possano causare danni significativi.
  2. Automazione e riduzione del carico di lavoro: gli amministratori di rete possono automatizzare le risposte agli incidenti di sicurezza, riducendo il bisogno di intervento manuale e accelerando i tempi di risposta.
  3. Personalizzazione: gli Event Handler possono essere configurati per gestire scenari di sicurezza specifici, adattandosi alle esigenze dell’organizzazione e alla sua infrastruttura di rete.
  4. Visibilità centralizzata: forniscono una visione chiara e centralizzata degli eventi di sicurezza attraverso un unico strumento, migliorando la capacità di analizzare e rispondere agli incidenti.

Essi prendono in considerazione solamente gli Analytics logs, ovvero i log che offrono un immediato supporto analitico, e non gli Archive logs (ovvero log compressi che non offrono un immediato supporto analitico).

Configurazione di un event handler per il filtraggio degli attacchi IPS

Un Intrusion Prevention System  (IPS) ha il compito di monitorare continuamente il traffico di rete per rilevare e prevenire potenziali attacchi o comportamenti dannosi, intervenendo in modo proattivo per bloccare tali minacce prima che possano compromettere i sistemi.

Quando si parla di attack direction (direzione dell’attacco) in un contesto IPS, ci si riferisce alla provenienza e alla destinazione degli attacchi rilevati:

  • Ingress: attacchi che provengono dall’esterno della rete (Internet) e sono diretti verso dispositivi o server interni.
  • Egress: attacchi che provengono da un dispositivo interno compromesso e cercano di comunicare con l’esterno, o verso altri dispositivi interni.

Capire la direzione di un attacco è fondamentale per una corretta gestione della sicurezza, poiché consente di differenziare e personalizzare le politiche di difesa, proteggendo sia dai rischi esterni (attacchi esterni che cercano di infiltrarsi) sia da compromissioni interne (attacchi che partono dall’interno della rete, spesso a seguito di infezioni come malware o trojan).

Scenario applicativo

L’obiettivo di questo scenario applicativo è di rilevare un attacco IPS tramite il logging di un device FortiGate che comunica con FortiAnalyzer.

In questo esempio, l’intervallo IP di seguito riportato distingue gli IP interni dagli utenti esterni. Gli IP al di fuori di questo intervallo sono considerati IP esterni:

192.168.0.0 – 192.168.255.255

La vittima è identificata dall’IP sorgente del traffico (srcip) se la direzione è in entrata, o dall’IP di destinazione (dstip) se la direzione è in uscita.

L’aggressore è identificato da Attack Source e da Attack Name.

 

Attacchi alla network interna

Sulla base di queste informazioni procediamo alla creazione dell’event handler per gli attacchi in direzione incoming.

Le informazioni che forniamo in input sono:

L’event handler per gli attacchi la cui direzione sarà outgoing, invece, sarà di questo tipo:

Nel momento in cui si verificherà un attacco di questo tipo, saremo in grado di prenderne atto mediante questa schermata:

Attacchi alla network esterna

Il primo event handler prende in considerazione un IP sorgente esterno ed una direzione incoming:

In modo simile, ne definiamo uno per la direzione outgoing:

Anche in tal caso, al verificarsi di un attacco, ne potremo visualizzare le informazioni:

In relazione a questa tipologia di attacchi, si può reagire mediante delle azioni automatizzate, la cui tipologia dipende dal device specifico, che in tal caso è un device FortiGate.

Vuoi maggiori informazioni?

Vuoi mettere in sicurezza il tuo sistema con soluzioni personalizzate Fortinet?

Compila i campi qui sotto, ti ricontatteremo quanto prima.