【飞塔FortiAnalyzer-license】Fortinet—日志收集分析器

重要说明：

本产品适用于“【Fortinet官方授权】飞塔Fortinet—FortiAnalyzer - 日志收集分析器”镜像产品的用户购买，用于该系统激活。

“【Fortinet官方授权】飞塔Fortinet—FortiAnalyzer - 日志收集分析器”镜像产品的下载链接：https://market.aliyun.com/products/57004003/cmjj00064338.html?spm=5176.shop.result.31.226a28c8cVDAqq&innerSource=search_%E9%A3%9E%E5%A1%94

License购买注意点：

1、根据您业务情况，选择合适的规格套餐，并购买支付

2、支付成功后您将获得对应的License，在拉起环境的同时输入Licesne，在操作中或技术上有疑问可即时联系客服。

【license计费规则：自下单交付之日起，至采购有效期结束】

Token激活步骤：

使用CLI注入FortiFlex license
在虚拟机实例中注入FortiFlex license的命令如下:

使用CLI向虚拟机实例注入一个FortiFlex license：

execute vm-license <license_token>

Example:

exec vm-license 58***************879

【如有部署Vdom需求、更多更高机型配置，请联系服务商】

功能亮点

事件检测和响应

NOC/SOC 可集中查看攻击面信息

借助 FortiSOC 视图，安全运营中心 (SOC) 和网络运营中心 (NOC)团队可以访问实时日志和威胁数据，从而保护网络安全。这种可操作视图支持深度下钻功能，具有通知、报告以及预定义或自定义仪表板，可集中呈现分析数据，便于操作人员掌握相关信息。分析师可以利用 FortiAnalyzer 的工作流自动化来简化安全运营的编排、威胁和漏洞的管理以及安全事件的响应，还可以进行主动调查，即前往“威胁搜寻”视图，在 SIEM 规范化日志中查找异常和威胁。

外部事件管理

借助 FortiAnalyzer 的事件管理器，安全团队可以通过日志来监控和管理警报及事件。事件采用简单易读的格式进行处理和关联，方便分析师理解并即时响应。分析师可以使用事件监控器对警报进行调查性搜索，并使用为 NOC 和 SOC 预定义或自定义的事件处理程序，这些处理程序支持自定义筛选器，可针对全天候监控生成实时通知，具体包括针对 SD-WAN、VPN SSL、无线、网络运营、FortiClient 等的事件处理程序。

内部事件管理

借助 FortiSOC 的事件组件，安全运营团队可以利用根据外部事件创建的内部事件来管理事件处理和生命周期，以显示受影响的资产、端点和用户。分析师可以分配事件，查看和深入分析事件详细信息和事件时间线，添加分析注释，附加报告和工件，以及检查剧本执行详情，以获取完整的审计历史记录。集成 FortiSOAR 可进一步调查事件和根除威胁，包括支持通过FortiAnalyzer Fabric 连接器将事件数据导出到 FortiSOAR（可以使用 API 管理员设置在 FortiSOAR 上启用此功能）。

剧本自动化

FortiAnalyzer 剧本的自动化事件响应功能可提高安全团队简化调查工作的能力，从而腾出更多资源，让分析师集中处理更重要的任务。

借助开箱即用的剧本模板，SOC 分析师可以快速定制自己的用例，包括用于调查受影响主机、感染情况和重要事件、Fabric 视图资产和身份视图的数据丰富、阻止恶意软件、C&C IP 等的剧本。安全团队可以定义自定义流程，在可视化剧本编辑器中编辑剧本和任务，利用剧本监控器检查任务执行详情，导入或导出剧本，以及使用内置的连接器支持剧本与其他 Security Fabric 设备（如 FortiOS 和EMS）进行交互。全新的连接器健康状况检查提供了一个指标，可用于验证连接器是否始终正常工作。

安全服务

增加了 FortiSOC 订阅功能，可通过增强的警报监控和上报、内置的事件管理工作流、连接器以及更多 FortiSOC 剧本来提升事件响应的自动化程度。

FortiGuard 威胁指标订阅每天可为安全团队提供来自 500,000 个IOC 的取证数据，这些数据与 FortiAnalyzer 分析结合使用，可识别网络或操作系统中观察到的可疑使用情况和工件（这些可疑情况和工件以较高的置信度确定为恶意感染或入侵），以及用于威胁搜寻的日志重新扫描历史记录。

影子 IT 监控服务可以持续监控未经批准的设备和资源的使用、未认可的帐户和 SaaS 和 IaaS 的未授权使用、API 集成、第三方应用以及使用个人帐户管理公司资产的欺诈用户。FortiGuard 爆发警报服务支持自动下载内容包，其中包含用于检测最新恶意软件和威胁的资源，包括爆发摘要视图、针对恶意软件工作原理的攻击链映射，FortiGate 覆盖范围解释了哪些 FortiGate组件和服务可以阻止威胁，以及利用 Fabric Coverage 获得完整的

Fabric 安全防护。

Security Fabric 分析

分析和报告

借助 FortiAnalyzer 的自动化驱动分析和报告，安全团队可以全面了解网络设备、系统和用户的相关信息。

FortiAnalyzer 提供与威胁情报相关的日志数据，用于分析实时和历史事件，为网络活动、风险、漏洞、攻击企图和运营异常提供情境和意义，持续监控认可和未认可的用户活动并调查影子 IT。

资产和身份

FortiAnalyzer 的 Fabric 视图包含资产和身份监控，可以让 SOC 全面洞悉用户和设备情况（包括攻击面分析），便于分析师查看和管理从日志和 Fabric 设备收集的详细 UEBA 信息，同时提供用于细化结果的筛选器和自定义视图。

资产和身份视图通过 EMS、NAC 和 Fortinet Fabric Agent 遥测技术提供相关用户和设备信息、漏洞检测和 EMS 标记以及资产分类，让安全团队可以深入洞察组织的端点和用户。

FortiView 是一款综合型监控解决方案，可提供实时关键警报和信息的多级视图和摘要，例如您网络的主要威胁和 IOC（包括僵尸网络和 C&C）、网络流量的主要来源和目的地、主要应用程序、网站和 SaaS、VPN 和系统信息，以及其他 Fabric 设备情报。

监视器视图可为运营团队提供支持自定义的 NOC 和 SOC 仪表板及小部件，用于在运营中心的多个屏幕上显示。通过针对 SD-WAN、VPN、WiFi、入站 / 出站流量、应用程序和网站、FortiSandbox检测、端点漏洞、软件清单、威胁、影子 IT（监控服务）、Fabric状态等的预定义仪表板视图实时监控事件。

分析师可以在日志视图中展开深入调查，使用搜索筛选器、日志下钻、格式化或原始日志、日志导入 / 导出轻松浏览托管设备的日志，也可以定义自定义视图和创建日志组。如果具备 FortiSOC 许可证，系统会自动创建 SIEM 数据库以在Fabric ADOM 中存储设备的规范化日志。

FortiAnlayzer 报告

FortiAnalyzer 提供 60 多个报告模板、800 多个数据集以及 750多个图表，可与示例报告一同使用，包括针对安全 SD-WAN、VPN 监控、威胁评估、360 安全审核、态势感知、失陷和风险指标、带宽和应用程序、FortiClient、FortiMail、FortiSandbox、FortiDeceptor、合规性等的报告。

分析师可以使用筛选器按设备、子网和类型筛选，轻松根据需要定制、克隆和修改报告，以向目标利益相关者提供特定业务指标。设置在非高峰时间或按需运行报告；为通知定义输出配置文件，并以灵活的查看格式（包括 PDF、HTML、CSV 和 XML）提供报告。

部署

部署 FortiAnalyzer

FortiAnalyzer 在 Fortinet Security Fabric 中起着重要作用，支持在各种配置中部署以更好地满足组织的各种需求，包括分析、备份、灾难恢复和存储、可用性和冗余以及针对生成大量事件日志的大容量网络的日志收集和转发。

FortiAnalyzer 高可用性 (HA)

FortiAnalyzer HA 提供实时冗余，通过确保运营的持续可用性来保护组织。如果主要（主动）FortiAnalyzer 出现故障，则次要（被动）

FortiAnalyzer（最多四个节点集群）将立即接管，提供日志和数据可靠性，从而消除单点故障的风险。

多租户与灵活的配额管理

FortiAnalyzer 支持管理多个子帐户，每个帐户都有自己的管理员和用户。每个管理域 (ADOM) 中基于时间的存档 / 分析日志数据策略允许根据定义的策略自动管理配额，并使用趋势图来指导策略配置和使用情况监控。

分析器 - 收集器模式

FortiAnalyzer 提供两种操作模式：分析器和收集器。在收集器模式下，主要任务是将已连接设备的日志转发给分析器并存档日志。这种配置非常有益于日志速率不断增加的组织，因为将资源密集型日志接收任务转移给收集器后，分析器可以专注于生成分析和报告。

网络运营团队可以在收集器和分析器模式下部署多个 FortiAnalyzer协同工作，以提高日志接收和大规模日志处理的整体性能，提供日志存储和冗余以及快速提供重要的网络和威胁信息。

针对第三方集成的日志转发

支持将日志从一个 FortiAnalyzer 转发到另一个 FortiAnalyzer 装置、syslog 服务器或 CEF 服务器。除了将日志转发到其他装置或服务器之外，客户端 FortiAnalyzer 还会保留本地日志副本，这些副本受存档日志的数据策略设置的约束。从网络设备收到日志后，系统会实时或近乎实时地转发日志。

云服务

FortiAnalyzer Cloud

FortiAnalyzer Cloud 可以为客户提供 SaaS 交付选项，以实现自动化驱动的集中分析，借助可轻松访问的云解决方案，为 FortinetNGFW 和 SD-WAN 提供日志管理、分析和报告功能。

FortiAnalyzer Cloud 具备全面的报告和监控功能，可以实时提供对网络活动的可靠洞察，让组织安全态势一目了然。借助 FortiCloud Premium 订阅，客户可以轻松使用 360 Protection捆绑包或通过按需购买启用 FortiAnalyzer Cloud 服务，从而为Fortinet Security Fabric 设备和用户生成分析。客户和合作伙伴可以通过 FortiCloud 单点登录门户轻松访问其FortiAnalyzer Cloud。