Fortinet SOAR: Lösungsübersicht, Funktionen und Einschränkungen

Was ist Fortinet SOAR (FortiSOAR)?

Fortinet SOAR (FortiSOAR) ist eine SOAR-Lösung (Security Orchestration, Automation and Response), die die Sicherheitsabläufe in Unternehmen vereinfachen soll. Sie ist darauf ausgelegt, die Herausforderungen von SOC-Teams (Security Operations Center), NOC-Teams (Network Operations Center) und OT-Teams (Operational Technology) zu bewältigen, indem sie Arbeitsabläufe vereinheitlicht, Prozesse automatisiert und die Erkennung von Bedrohungen sowie die Reaktion auf Sicherheitsvorfälle unterstützt.

FortiSOAR fungiert als Sicherheits-Operations-Hub, in dem Unternehmen ihre vorhandenen Sicherheitstools integrieren, wiederkehrende Aufgaben automatisieren und Verfahren zur Reaktion auf Vorfälle standardisieren. Es ist für die Handhabung mehrerer Integrationen und vorgefertigter Workflows ausgelegt.

Diese Plattform bietet zentralisierte Bedrohungsinformationen, Playbook-Anpassung und risikobasiertes Schwachstellenmanagement. Sie kann als Software-as-a-Service (SaaS)-Lösung, vor Ort oder über Managed Security Service Provider (MSSPs) bereitgestellt werden.

Dies ist Teil einer Artikelserie über FortiSIEM.

Hauptfunktionen von FortiSOAR

FortiSOAR bietet die folgenden Funktionen:

• Reaktion auf Sicherheitsvorfälle: Automatisiert die Alarmtriage, Untersuchung und Reaktionsabläufe und integriert sich in andere Sicherheitstools. Es enthält vorgefertigte Playbooks zur Unterstützung von SOC-, NOC- und OT-Teams.
• Fall- und Personalmanagement: Bietet Tools zum Verwalten von Aufgabenzuweisungen, Verfolgen von Arbeitswarteschlangen und Handhaben der Teamplanung.
• Integration von Bedrohungsinformationen: Integriert Informationen von FortiGuard Labs und anderen öffentlichen Quellen, um Untersuchungen zu bereichern und die Suche nach Bedrohungen zu unterstützen.
• Asset- und Schwachstellenmanagement: Bietet risikobasierte Ansichten von Assets, Schwachstellenverfolgung und automatisierte Minderungs-Workflows zur Verbesserung der Betriebseffizienz.
• Compliance-Automatisierung: Ziel ist die Vereinfachung des IT/OT-Compliance-Managements durch Aufgabenautomatisierung, detaillierte Berichterstattung und Verfolgung von Service-Level-Agreements (SLAs).
• OT-Sicherheitsmanagement: Bietet spezialisierte Integrationen und Playbooks für Betriebstechnologieumgebungen.
• Generative KI-Unterstützung: Nutzt KI-Tools wie FortiAI und eine Recommendation Engine um die Arbeitsabläufe von Analysten durch die Bereitstellung von Erkenntnissen und Vorschlägen zu beschleunigen.
• Playbook-Designer: Enthält eine No-Code- und Low-Code-Schnittstelle zum Erstellen benutzerdefinierter Automatisierungs-Workflows mithilfe der Drag-and-Drop-Funktionalität, sodass Teams mit begrenzten Programmierkenntnissen Vorgänge anpassen können.
• Bereitstellungsoptionen: Unterstützt lokale, öffentliche Cloud-, SaaS- und MSSP-Bereitstellungen.
• Content Hub: Bietet Zugriff auf eine Bibliothek mit Konnektoren, Playbooks, Lösungen und Community-Ressourcen, die der kontinuierlichen Verbesserung der Systemfunktionen dienen.

Anwendungsfälle von FortiSOAR

1. SOC-Bedrohungsuntersuchung und -Reaktion

FortiSOAR automatisiert die Alarmtriage, -anreicherung und -reaktion durch die Integration mehrerer Sicherheitsprodukte. Routinealarme werden automatisch bearbeitet, während Prioritätsalarme dem MITRE ATT&CK-Framework zugeordnet und für eine tiefergehende Analyse in Vorfälle gruppiert werden.

Analysten werden mit Playbook-Empfehlungen unterstützt und können eskalierte Vorfälle über eine „War Room“-Funktion für Zusammenarbeit und forensisches Tracking verwalten. Mithilfe der sicheren mobilen Anwendung können Analysten von verschiedenen Standorten aus auf Vorfälle reagieren.

2. Asset- und Schwachstellenmanagement

FortiSOAR lässt sich in Asset-Management- und Schwachstellenscanner integrieren und bietet so eine risikobasierte Sicht auf IT- und OT-Assets. Es bietet Einblicke in die Kritikalität von Assets, Schwachstellen und Alarmzustände und unterstützt Teams bei der Priorisierung und Bewältigung von Risiken.

Automatisierte Playbooks sollen die Behebung von Problemen vereinfachen, während Vorfalluntersuchungen von einem erweiterten Kontext mit Zugriff auf vorgefertigte Asset-Profile profitieren.

3. OT-Sicherheitsoperationen

Betriebstechnologiesysteme (OT) sind aufgrund ihrer Konvergenz mit der IT wachsenden Risiken ausgesetzt. FortiSOAR begegnet diesen Risiken durch integrierte OT-Sicherheitsabläufe. Es bietet Funktionen für das OT-Asset- und Schwachstellenmanagement, ICS-spezifische Bedrohungsansichten und OT-spezifische Playbooks.

Diese Tools sollen den von der Cybersecurity and Infrastructure Security Agency (CISA) empfohlenen Best Practices entsprechen und zum Schutz von OT-Umgebungen beitragen.

4. Compliance-Automatisierung und -Berichterstattung

FortiSOAR vereinfacht das Compliance-Management durch die Automatisierung von Beratungsaktualisierungen, Compliance-Aufgaben und Berichten. Es unterstützt Tracking und Dashboards, die auf verschiedene Vorschriften zugeschnitten sind, darunter DSGVO, HIPAA und US NERC CIP.

Die Funktionen zur SLA-Verfolgung, zum Asset-Management und zum Schwachstellenmanagement sollen dabei helfen, obligatorische Warnmeldungen und Maßnahmen zur Einhaltung der Compliance zu verwalten.

5. Benutzerdefinierte Playbook-Erstellung

FortiSOAR bietet eine visuelle Drag-and-Drop-Oberfläche zum Erstellen benutzerdefinierter Playbooks, für die keine technischen Programmierkenntnisse erforderlich sind. Diese Low-Code-Entwicklung ermöglicht es Benutzern, Workflows zu entwerfen und zu simulieren.

Die Plattform bietet Zugriff auf verschiedene vorgefertigte Playbooks aus dem FortiSOAR Content Hub und Inline-Anleitungen der Recommendation Engine. Dies erleichtert möglicherweise die Implementierung und Anpassung der Automatisierung an unterschiedliche Anforderungen.

6. MSSP-Operationen

FortiSOAR unterstützt die von Managed Security Service Providern (MSSPs) benötigten Bereitstellungsmodelle. Es ermöglicht gemeinsame und dedizierte Mandanten-Setups, unterstützt hierarchische und regionale SOC-Strukturen und bietet mandantenspezifische Playbooks, Warnmeldungen und Dashboards.

MSSPs könnten von der relativ flexiblen Lizenzierung und dem Fokus auf anpassbare Dienste und Kostenmanagement profitieren.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zurSOAR Sicherheit

Beispiele für FortiSOAR-Lösungspakete

Automatisiertes Mitarbeiter-Onboarding

Das Lösungspaket „Automatisiertes Mitarbeiter-Onboarding“ vereinfacht die Onboarding- und Offboarding-Prozesse in großen Unternehmen, insbesondere in solchen mit hoher Mitarbeiterfluktuation. Während moderne Systeme für Identitäts- und Zugriffsmanagement (IAM) oder Single Sign-On (SSO) den Großteil des Zugriffs verwalten, erfordern Legacy-Systeme oft eine manuelle Konfiguration zum Erteilen oder Entziehen von Berechtigungen. Diese Lösung unterstützt die Automatisierung dieser Prozesse mithilfe von Tools wie Active Directory und E-Mail-basierten Triggern.

Das Lösungspaket enthält Ressourcen wie:

• Konnektoren: Integration mit Exchange, Active Directory, MySQL und SSH für die plattformübergreifende Kommunikation und Ausführung von Aufgaben.
• Globale Variablen: Ein Demomodus für Simulationen ohne Auswirkungen auf Live-Umgebungen.
• Playbooks: Vordefinierte Workflows zum Onboarding/Offboarding von Mitarbeitern, zum Erstellen oder Deaktivieren von Benutzerkonten auf Systemen und zum Konfigurieren des Zugriffs auf Dienste wie MySQL und SSH.

Das System bildet die Zugriffsanforderungen der Benutzer über Active Directory-Gruppen ab, sodass jeder Mitarbeiter die entsprechenden Berechtigungen erhält. Bereitstellungsanforderungen stammen in der Regel aus HR-Systemen oder per E-Mail. Die automatisierten Playbooks unterstützen bei der Erstellung von Konten, der Konfiguration von Postfächern und der Verwaltung des Serverzugriffs.

Reaktion auf Brute-Force-Angriffe

Das Brute Force Attack Response-Lösungspaket bietet eine automatisierte Reaktion auf Anmeldefehler und Brute-Force-Versuche. Ziel ist es, die Angriffsquelle zu identifizieren und die Auswirkungen auf die betroffenen Systeme zu bewerten.

Zu den wichtigsten Funktionen gehören:

• Integration mit Tools: Es verwendet VirusTotal für IP-Reputation Reputationsanalyse, Active Directory für die Benutzerabfrage und Splunk für die Ereignisaufnahme und -suche.
• Szenarien: Demonstrationen der Brute-Force-Erkennung mithilfe von Konnektoren wie FortiSIEM und Syslog.
• Playbooks: Vorgefertigte Workflows zur Untersuchung von Anmeldefehlern, zum Extrahieren wichtiger Indikatoren wie Quell- und Ziel-IPs und zum Ergänzen dieser Daten mit Bedrohungsinformationen.

Durch die Automatisierung wiederkehrender Analyseaufgaben soll die Lösung den manuellen Aufwand reduzieren und die Reaktionszeit verbessern. Sicherheitsteams können betroffene Systeme isolieren und böswillige Akteure blockieren, um weitere Angriffe zu verhindern.

C2 Malware-Verkehrsreaktion

Das C2 Malware Traffic Response-Lösungspaket konzentriert sich auf die Abwehr von Command-and-Control-Angriffen (C2). Bei diesen Angriffen kommunizieren mit Malware infizierte Systeme mit dem Server eines Angreifers, um Daten zu stehlen, zusätzliche Malware herunterzuladen oder infizierte Systeme zu steuern.

Zu den wichtigsten Komponenten gehören:

• Szenario: Eine Demonstration einer bösartigen ausgehenden Verbindung, die über bekannte C2-Ports erkannt wurde.
• Playbooks: Tools zur Untersuchung und Eindämmung der Bedrohung durch Isolierung oder Blockierung bösartiger IPs mithilfe von Fortinet FortiGate und Abrufen zugehöriger Indikatoren aus Bedrohungsinformationsquellen.

Diese Lösung automatisiert Eindämmungs- und Untersuchungsabläufe und unterstützt Sicherheitsteams dabei, die Auswirkungen von C2-Angriffen zu mildern. Darüber hinaus bietet sie erweiterte Informationen, die Analysten dabei helfen, Umfang und Art des Angriffs zu verstehen.

FortiSOAR-Einschränkungen

FortiSOAR weist auch Einschränkungen auf, die die Benutzerfreundlichkeit, die Integrationsmöglichkeiten und das allgemeine Benutzererlebnis beeinträchtigen können. Diese Einschränkungen wurden von Benutzern auf Gartner Peer Insights gemeldet:

• Komplexität der Konnektorentwicklung: Wenn für ein gewünschtes Produkt kein vorgefertigter Konnektor in FortiSOAR vorhanden ist, müssen Benutzer selbst einen entwickeln. Dieser Prozess kann anspruchsvoll und zeitintensiv sein, insbesondere für Benutzer, die mit der Konnektorerstellung nicht vertraut sind.
• Eingeschränkte Integration mit einigen Datenquellen: FortiSOAR hat Probleme mit der Integration mit bestimmten Datenquellen, was die Fähigkeit zur bidirektionalen Kommunikation über den gesamten Sicherheitstechnologie-Stack hinweg beeinträchtigen kann.
• Komplexe Verwaltung: Die Verwaltungsfunktionen der Plattform sind nicht benutzerfreundlich, was die Verwaltung und Konfiguration für Teams ohne entsprechende Erfahrung oder Schulung erschwert.
• Unzureichende Dokumentation: Die Dokumentation, insbesondere bei der Integration mit Tools von Drittanbietern, ist oft unzureichend. Dieser Mangel an detaillierten Anleitungen kann bei der Einrichtung und Integration zu Herausforderungen führen.
• Hohe Komplexität der Ersteinrichtung: Das Einrichten und Konfigurieren von FortiSOAR kann zeitaufwändig und kompliziert sein und für neue Benutzer eine steile Lernkurve mit sich bringen.
• Komplexität des Playbooks und Dashboards: Das Playbook-Design und die Berichtsfunktionen der Plattform können übermäßig komplex sein und zu viele Optionen enthalten, die die Benutzer überfordern können, insbesondere während der ersten Implementierung.
• Kostenbedenken: Die Kosten für FortiSOAR können für manche Unternehmen zu hoch sein. Obwohl es sich gut in andere Fortinet-Produkte integrieren lässt, ist diese Integration mit einem Aufpreis verbunden.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zu Fortinet-Konkurrenten

Exabeam: Die ultimative Fortinet SOAR Alternative

Während Fortinet SOAR (FortiSOAR) Sicherheitsautomatisierungs- und Orchestrierungsfunktionen bietet, können seine Komplexität, sein starres Integrationsmodell und seine Abhängigkeit von vorgefertigten Playbooks die Anpassungsfähigkeit in dynamischen Sicherheitsumgebungen einschränken.

Exabeam verfolgt einen flexibleren Ansatz, indem es SIEM, SOAR und UEBA in einer einheitlichen Plattform vereint. Diese optimiert Untersuchungen und automatisiert Reaktionsabläufe ohne aufwendige manuelle Anpassungen. Im Gegensatz zu FortiSOAR, das sich primär auf die Automatisierung vordefinierter Aufgaben konzentriert, nutzt Exabeam Verhaltensanalysen, um Anomalien zu erkennen und die Automatisierung an sich verändernde Bedrohungen anzupassen. Dank vorkonfigurierter API-Integrationen für eine Vielzahl von Sicherheitstools – darunter auch Fortinet-Produkte – bietet Exabeam umfassendere Transparenz und schnellere Reaktionszeiten. So bleiben Sicherheitsteams Angreifern stets einen Schritt voraus und der operative Aufwand wird reduziert.

Exabeam ist ein führender Anbieter von Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM), die UEBA, SIEM, SOAR und TDIR kombinieren, um Sicherheitsabläufe zu beschleunigen. Seine Security Operations-Plattformen ermöglichen es Sicherheitsteams, Bedrohungen schnell zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig die betriebliche Effizienz zu steigern.

Hauptmerkmale:

• Skalierbare Protokollerfassung und -verwaltung: Die offene Plattform beschleunigt das Onboarding von Protokollen um 70 %, sodass keine fortgeschrittenen technischen Kenntnisse mehr erforderlich sind, und gewährleistet gleichzeitig eine nahtlose Protokollaggregation in hybriden Umgebungen.
• Verhaltensanalyse: Verwendet erweiterte Analysen, um normales und abnormales Verhalten zu vergleichen und Insider-Bedrohungen, laterale Bewegungen und komplexe Angriffe zu erkennen, die von signaturbasierten Systemen übersehen werden. Kunden berichten, dass Exabeam 90 % der Angriffe erkennt und darauf reagiert, bevor andere Anbieter sie abfangen können.
• Automatisierte Reaktion auf Bedrohungen: Vereinfacht Sicherheitsvorgänge durch Automatisierung der Vorfallzeitpläne, Reduzierung des manuellen Aufwands um 30 % und Beschleunigung der Untersuchungszeiten um 80 %.
• Kontextbezogene Vorfalluntersuchung: Da Exabeam die Zeitleistenerstellung automatisiert und den Zeitaufwand für Routineaufgaben reduziert, verkürzt sich die Zeit für die Erkennung und Reaktion auf Bedrohungen um über 50 %. Vorgefertigte Korrelationsregeln, Modelle zur Anomalieerkennung und Anbieterintegrationen reduzieren die Anzahl der Warnmeldungen um 60 % und minimieren Fehlalarme.
• SaaS- und Cloud-native Optionen: Flexible Bereitstellungsoptionen bieten Skalierbarkeit für Cloud-First- und Hybridumgebungen und gewährleisten eine schnelle Wertschöpfung für Kunden. Für Unternehmen, die ihr SIEM nicht in die Cloud migrieren können oder wollen, bietet Exabeam ein marktführendes, voll funktionsfähiges und selbst gehostetes SIEM.
• Netzwerktransparenz mit NetMon: Bietet tiefe Einblicke über Firewalls und IDS/IPS hinaus, erkennt Bedrohungen wie Datendiebstahl und Botnet-Aktivitäten und erleichtert die Untersuchung durch flexible Suchfunktionen. Deep Packet Analytics (DPA) basiert außerdem auf der NetMon Deep Packet Inspection (DPI)-Engine, um wichtige Indikatoren für Kompromittierungen (IOCs) zu interpretieren.

Exabeam-Kunden betonen immer wieder, wie die KI-gestützten Tools für Echtzeittransparenz, Automatisierung und Produktivität die Sicherheitskompetenz steigern und überforderte Analysten in proaktive Verteidiger verwandeln. Gleichzeitig werden Kosten gesenkt und branchenführender Support gewährleistet. Weitere Informationen finden Sie unter Exabeam.