Fale conosco
FortiSOAR

FortiSOAR

O FortiSOAR simplifica as operações de segurança com automação e integrações.

Informações básicas

O Fortinet FortiSOAR é uma plataforma de Orquestração, Automação e Resposta de Segurança (SOAR) projetada para aprimorar as operações de segurança, centralizando o gerenciamento de incidentes e automatizando a investigação e resposta a ameaças.

  • Modelo: O FortiSOAR está disponível como um dispositivo virtual, uma solução hospedada pela Fortinet (PaaS) ou como um aplicativo de extensão de gerenciamento (MEA) no FortiAnalyzer e no FortiManager.
  • Versão: A documentação está disponível para várias versões, sendo a 7.6.4 a versão mais recente referenciada na documentação oficial.
  • Data de lançamento: As datas de lançamento específicas do produto variam conforme a versão; a plataforma passa por desenvolvimento e atualizações contínuas.
  • Requisitos mínimos:
    • Para FortiSOAR MEA: 4 CPUs, 8 GB de RAM.
    • Para o dispositivo virtual: 8 vCPUs, 32 GB de RAM, 500 GB de espaço em disco.
  • Sistemas operacionais suportados: Rocky Linux 8.6 ou RHEL 8.6 para instalações baseadas em scripts. Versões anteriores suportavam CentOS 7.
  • Última versão estável: A versão documentada mais recente é a 7.6.4.
  • Data de Fim do Suporte: As datas de Fim do Suporte (EOS) geralmente dependem do contrato e não são normalmente divulgadas.
  • Data de Fim da Vida Útil: As datas de Fim da Vida Útil (EOL, na sigla em inglês) geralmente dependem do contrato e não são normalmente divulgadas.
  • Data de expiração da atualização automática: Não especificada publicamente; as atualizações são gerenciadas por meio de contratos de suporte da Fortinet e atualizações gerenciadas.
  • Tipo de licença: O FortiSOAR oferece licenças perpétuas, perpétuas (de avaliação) e por assinatura. As edições incluem Enterprise, Multi-Tenant e Starter, com licenciamento geralmente baseado no número de usuários. O licenciamento FortiFlex também está disponível.
  • Modelo de Implantação: O FortiSOAR suporta modelos de implantação flexíveis, incluindo appliance virtual (local, plataformas de nuvem pública como AWS, VMware ESXi, KVM, Docker), hospedado pela Fortinet (PaaS/FortiCloud) e como um MEA no FortiAnalyzer/FortiManager.

Requisitos técnicos

Os requisitos técnicos do FortiSOAR variam de acordo com a escala e o modelo de implantação, com ênfase em ambientes virtualizados e armazenamento de alto desempenho.

  • BATER:
    • Mínimo para FortiSOAR MEA: 8 GB.
    • Requisitos mínimos para o dispositivo virtual: 32 GB.
    • Recomendado para dispositivo virtual: 48 GB.
  • Processador:
    • Mínimo para FortiSOAR MEA: 4 CPUs.
    • Requisitos mínimos para dispositivo virtual: 8 vCPUs.
    • Recomendado para dispositivo virtual: 12 vCPUs.
  • Armazenar:
    • Requisitos mínimos para dispositivo virtual: 500 GB.
    • Recomendado para dispositivo virtual: 1 TB.

    Recomenda-se armazenamento de alto desempenho, preferencialmente SSDs. Os requisitos de espaço em disco dependem significativamente do uso, da auditoria e das políticas de retenção do fluxo de trabalho.

  • Portas: Requer acesso entre a VM do FortiSOAR e produtos e serviços integrados de terceiros. O SMTP (porta 25) é normalmente usado para e-mail. Outras portas dependem dos conectores e playbooks específicos utilizados.
  • Sistema Operacional: Para instalações baseadas em scripts, são suportados o Rocky Linux 8.6 ou o RHEL 8.6. Versões anteriores eram compatíveis com o CentOS 7. A Fortinet recomenda a instalação em um sistema operacional não reforçado (sem restrições de segurança), pois o FortiSOAR realiza seu próprio reforço de segurança após a instalação.

Análise dos Requisitos Técnicos

O FortiSOAR foi projetado para ambientes virtualizados, com alocação de recursos escalável. As especificações recomendadas para RAM, CPU e armazenamento são substanciais, refletindo seu papel no processamento e orquestração de fluxos de trabalho de segurança complexos. A ênfase em armazenamento de alto desempenho (SSDs) destaca a necessidade de acesso e processamento rápidos de dados para resposta a incidentes. A compatibilidade com sistemas operacionais prioriza distribuições Linux de nível empresarial, garantindo uma base robusta e segura. A natureza dinâmica dos requisitos de porta ressalta as amplas capacidades de integração da plataforma, exigindo um planejamento de rede cuidadoso com base nos conectores implementados.

Suporte e compatibilidade

O FortiSOAR oferece ampla compatibilidade por meio de sua extensa biblioteca de conectores e suporta plataformas de virtualização comuns.

  • Última versão: A versão documentada mais recente é a 7.6.4.
  • Suporte a sistemas operacionais: Rocky Linux 8.6 e RHEL 8.6 são suportados para instalação. Versões anteriores, como CentOS 7, são suportadas.
  • Hipervisores suportados: AWS Cloud, Fortinet-FortiCloud, VMware ESXi (versões 5.5, 6.0, 6.5, 7.0, 8.0), Red Hat KVM e Docker.
  • Data de Fim do Suporte: As datas gerais de fim do suporte não são divulgadas publicamente e normalmente são especificadas em contratos de suporte individuais.
  • Localização: As opções específicas de localização não são detalhadas explicitamente na documentação pública.
  • Drivers disponíveis: O FortiSOAR utiliza "conectores" para integração, suportando mais de 500 produtos de segurança de diversos fornecedores, incluindo SIEMs, EDRs e sistemas de emissão de tickets. Um Hub de Conteúdo fornece uma extensa biblioteca de conectores e playbooks prontos para uso. Conectores personalizados também podem ser desenvolvidos.

Análise do estado geral de suporte e compatibilidade

O FortiSOAR demonstra forte compatibilidade com as principais plataformas de virtualização e um vasto ecossistema de ferramentas de segurança por meio de sua extensa biblioteca de conectores. Isso permite implantação e integração flexíveis em diversos ambientes corporativos. Embora as datas específicas do ciclo de vida dependam do contrato, a Fortinet fornece atualizações contínuas e uma infraestrutura de suporte robusta. A capacidade de criar conectores personalizados aumenta ainda mais sua adaptabilidade às necessidades exclusivas de cada cliente.

Estado de segurança

O FortiSOAR incorpora um conjunto abrangente de recursos de segurança, com foco na proteção de dados confidenciais e na garantia de acesso seguro.

  • Recursos de segurança:
    • Automatiza os fluxos de trabalho de triagem, investigação e resposta a alertas.
    • Integra informações sobre ameaças do FortiGuard Labs e de outras fontes.
    • Oferece recursos de gerenciamento de ativos e vulnerabilidades.
    • Inclui uma Sala de Guerra de Incidentes para investigação colaborativa.
    • Apresenta um mecanismo de recomendação baseado em aprendizado de máquina para agrupamento de alertas e avaliação de ameaças.
    • Suporta o controle de acesso baseado em funções (RBAC) para o gerenciamento de dados sensíveis.
    • Utiliza um modelo de segurança sem sessão com tokens de autenticação únicos e de duração limitada.
    • As ações da API são analisadas em relação aos privilégios de autorização do usuário.
  • Vulnerabilidades conhecidas: Diversas CVEs foram relatadas em diferentes versões do FortiSOAR, incluindo injeção de comandos do sistema operacional, cross-site scripting (XSS), travessia de diretórios relativa e divulgação de informações confidenciais (por exemplo, senhas de conectores em texto simples). A Fortinet lança patches regularmente para corrigir essas vulnerabilidades.
  • Status na lista negra: Não aplicável para uma plataforma SOAR.
  • Certificações: As certificações específicas do setor não são detalhadas explicitamente na documentação disponível publicamente.
  • Suporte à criptografia:
    • Dados em repouso: Suporta criptografia de disco completa (FDE) usando LUKS (Linux Unified Key Setup) a partir da versão 7.6.1.
    • Dados em trânsito: Toda a comunicação de rede, incluindo HTTPS, TCP e APIs REST, é criptografada.
    • As chaves de criptografia são exclusivas para cada instância e exigem backup seguro.
  • Métodos de autenticação: Suporta múltiplos métodos de autenticação, incluindo usuários de banco de dados, integração com LDAP/Active Directory, Single Sign-On (SSO) via SAML, autenticação por servidor RADIUS e autenticação de dois fatores (2FA) usando Google Authenticator ou Telesign. O acesso à API utiliza autenticação baseada em HMAC e chave de API.
  • Recomendações gerais: A Fortinet recomenda o uso de sistemas que atendam ou excedam as especificações recomendadas, a proteção das chaves de criptografia, a aplicação imediata de patches, a configuração da autenticação de dois fatores (2FA) e o uso de conjuntos de privilégios limitados para ações de API a fim de aprimorar a segurança.

Análise da Classificação Geral de Segurança

O FortiSOAR demonstra uma postura de segurança geral robusta, integrando recursos eficazes para resposta a incidentes, inteligência contra ameaças e controle de acesso. A criptografia abrangente para dados em repouso e em trânsito, juntamente com diversos métodos de autenticação, proporciona proteção significativa. A divulgação e correção regulares de vulnerabilidades pela Fortinet demonstram um compromisso ativo com a segurança do produto. Recomenda-se que os usuários sigam as melhores práticas em relação à configuração do sistema, aplicação de patches e gerenciamento de acesso para manter a segurança ideal.

Desempenho e indicadores de desempenho

O desempenho do FortiSOAR é otimizado para a ingestão eficiente de alertas e a execução de playbooks, com escalabilidade alcançada por meio de alocação de recursos e clustering.

  • Resultados de testes de desempenho: A Fortinet realiza testes de desempenho para versões principais, avaliando métricas como taxas de ingestão de alertas e tempos de execução de playbooks. Os resultados estão disponíveis para versões como 7.0.1, 7.0.2, 7.5.0 e 7.6.2.
  • Métricas de desempenho no mundo real:
    • Clusters de alta disponibilidade (HA) demonstram processamento de carga de trabalho mais eficaz e tempos de execução mais rápidos em comparação com sistemas de nó único.
    • Em testes de ingestão contínua, um sistema de nó único processando 28.800 alertas por dia (com 288.000 execuções de playbook) apresentou uma utilização média de CPU de 51%.
    • O desempenho é influenciado por fatores como taxa de ingestão, número de fluxos de trabalho e políticas de limpeza.
  • Consumo de energia: Como se trata de uma plataforma baseada em software, as métricas diretas de consumo de energia não são aplicáveis; o consumo de energia depende da infraestrutura de hardware subjacente.
  • Pegada de carbono: Não medida diretamente para o ativo de software; depende da eficiência energética da infraestrutura de hospedagem.
  • Comparação com ativos semelhantes: O FortiSOAR é frequentemente comparado a outras soluções SOAR disponíveis no mercado, como o Microsoft Sentinel e o Palo Alto Networks Cortex XSOAR.

Análise do Estado de Desempenho Geral

O FortiSOAR foi projetado para alto desempenho em orquestração e automação de segurança, especialmente no processamento de grandes volumes de alertas e na execução de playbooks complexos. Sua arquitetura suporta escalabilidade por meio de clusters e bancos de dados externos, permitindo que as organizações adaptem os recursos às suas demandas específicas de carga de trabalho. Resultados de benchmarks mostram consistentemente que configurações de alta disponibilidade (HA) melhoram significativamente a eficiência do processamento. O desempenho ideal depende da adesão às especificações de sistema recomendadas e da configuração adequada das definições do FortiSOAR.

Avaliações e comentários dos usuários

O feedback dos usuários destaca os pontos fortes do FortiSOAR em automação e integração, ao mesmo tempo que aponta áreas para melhoria na implantação inicial e na personalização.

  • Pontos fortes:
    • Automação e Orquestração: Os usuários valorizam muito seus recursos para otimizar as operações de segurança, automatizar tarefas repetitivas e reduzir a intervenção manual.
    • Integrações: Elogiado pela integração perfeita com mais de 500 ferramentas de segurança da Fortinet e de terceiros, aprimorando a resposta a incidentes.
    • Gestão de Incidentes: Eficaz para gestão centralizada de incidentes, triagem de alertas e integração de inteligência de ameaças.
    • Facilidade de uso: Muitos usuários consideram a interface intuitiva e o design "sem código" do playbook benéfico para a criação de fluxos de trabalho.
    • Suporte ao cliente: O suporte e a comunidade da Fortinet são frequentemente citados como úteis.
    • Funcionalidades baseadas em IA: O mecanismo de recomendação com tecnologia de aprendizado de máquina auxilia no agrupamento de alertas e na avaliação de ameaças.
  • Pontos fracos:
    • Complexidade de instalação: A instalação e a configuração iniciais podem ser complexas, especialmente para equipes com pouca experiência ou ao integrar diversas ferramentas e personalizar fluxos de trabalho.
    • Flexibilidade de script: Alguns usuários desejam opções de script mais avançadas além da abordagem "sem código" para uma personalização mais profunda.
    • Fadiga de alertas: Recursos extensos podem levar à fadiga de alertas se não forem configurados e gerenciados adequadamente.
    • Convenções de nomenclatura: Inconsistências na terminologia (por exemplo, "alerta" versus "incidente") entre o FortiSOAR e outros produtos da Fortinet podem causar confusão.
  • Casos de uso recomendados: O FortiSOAR é recomendado para resposta a incidentes de segurança, triagem de alertas, investigação e fluxos de trabalho de resposta, especialmente para equipes de SOC, NOC e OT. Também é utilizado para gerenciamento de ativos e vulnerabilidades, gerenciamento de inteligência de ameaças, automação de conformidade e gerenciamento de crises.

Resumo

O Fortinet FortiSOAR é uma plataforma robusta e altamente capaz de Orquestração, Automação e Resposta de Segurança (SOAR), que serve como um hub central para operações de segurança. Seu principal ponto forte reside em seus amplos recursos de automação e orquestração, que simplificam significativamente a resposta a incidentes, reduzem o esforço manual e melhoram a eficiência geral do SOC. A plataforma oferece ampla compatibilidade com mais de 500 ferramentas de segurança de terceiros por meio de sua rica biblioteca de conectores, permitindo a integração perfeita em diversos ambientes corporativos. Recursos importantes, como recomendações baseadas em IA, uma Sala de Guerra de Incidentes colaborativa e integração abrangente de inteligência de ameaças, capacitam ainda mais as equipes de segurança a detectar, investigar e mitigar ameaças com eficácia.

No entanto, o FortiSOAR apresenta alguns desafios, principalmente durante a configuração inicial e personalizações complexas, que podem exigir conhecimento especializado. Embora seu design de playbook "sem código" seja um ponto forte para muitos, alguns usuários avançados expressam o desejo de maior flexibilidade de script. O desempenho da plataforma escala bem com recursos adequados e configurações de alta disponibilidade, tornando-a adequada para cargas de trabalho exigentes. A segurança é um foco central, com criptografia abrangente para dados em repouso e em trânsito, opções de autenticação multifator e controles de acesso robustos. A abordagem proativa da Fortinet para lidar com vulnerabilidades conhecidas por meio de patches regulares reforça ainda mais sua postura de segurança.

De modo geral, o FortiSOAR é uma excelente opção para organizações que buscam automatizar e otimizar suas operações de segurança, principalmente aquelas com ecossistemas de segurança complexos e com múltiplos fornecedores. Seus pontos fortes em automação, integração e gerenciamento de incidentes superam as complexidades de configuração inicial, tornando-o um recurso valioso para aprimorar a resposta a incidentes e reduzir o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR). As organizações devem planejar recursos adequados e, possivelmente, expertise especializada para a implantação inicial e personalização avançada, a fim de aproveitar ao máximo suas funcionalidades.

As informações fornecidas são baseadas em dados disponíveis publicamente e podem variar dependendo das configurações específicas do dispositivo. Para obter informações atualizadas, consulte os recursos oficiais do fabricante.

Simplifique o seu ecossistema IT com InvGate Asset Management

30 dias de teste gratuito - Não é necessário cartão de crédito

Comece

Preços claros

Sem surpresas nem taxas ocultas: somente preços claros que atendam às suas necessidades.

Ver Preços

Migração fácil

Nossa equipe garante que sua transição para a InvGate seja rápida, tranquila e sem complicações.

Ver Customer Experience