Fortinet XDR (FortiXDR): Lösungsübersicht, Funktionen und Einschränkungen

Was ist Fortinet XDR (FortiXDR)?

Fortinet XDR (FortiXDR) ist eine Extended Detection and Response (XDR)-Lösung, die die Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle im gesamten Sicherheitsökosystem eines Unternehmens vereinheitlicht und automatisiert. Sie lässt sich in das Fortinet Security Fabric und Produkte von Drittanbietern integrieren, um Telemetriedaten zu analysieren und die Alarmmüdigkeit zu reduzieren.

Mithilfe künstlicher Intelligenz und Analyse versucht FortiXDR, Warnmeldungen mit geringer Zuverlässigkeit von verschiedenen Sicherheitsplattformen mit Vorfällen mit hoher Zuverlässigkeit zu korrelieren. Diese Vorfälle werden untersucht, um Unternehmen dabei zu unterstützen, Reaktionsmaßnahmen über mehrere Sicherheitsebenen hinweg vorab zu definieren und zu automatisieren. FortiXDR zielt hauptsächlich darauf ab, die Zeit für die Erkennung und Reaktion auf Bedrohungen zu verkürzen.

Dies ist Teil einer Artikelserie über FortiSIEM.

Hauptfunktionen von FortiXDR

FortiXDR bietet eine Reihe von Funktionen zur Verbesserung der Sicherheitsabläufe. Hier sind einige der wichtigsten Funktionen:

1. Erweiterte Erkennung: FortiXDR nutzt von Fortinet gesammelte Analysen, um die Sicherheitstelemetrie aus dem gesamten Fortinet Security Fabric zu korrelieren. Dieser Prozess soll Warnmeldungen konsolidieren und die Identifizierung von Hochrisikovorfällen wie lateraler Bewegung, Brute-Force-Angriffen, Phishing-Versuchen und Datenexfiltration unterstützen.

2. KI-gestützte Untersuchung: FortiXDR nutzt eine Engine mit Microservices, die die Aktionen von Expertenanalysten nachbilden. Die Analyse von Vorfällen erfolgt durch Telemetriedaten, statische und dynamische Dateianalysen, Vergleich von Basisverhalten und die Nutzung von Bedrohungsdaten. Diese automatisierte Untersuchung verkürzt die Zeit für die Vorfallstriage.

3. Automatisierbares Reaktions-Framework: Die Lösung umfasst ein Framework, das vordefinierte Reaktionsmaßnahmen basierend auf Benutzerrollen, Schweregrad des Vorfalls und betroffenen Assets ermöglicht. Zu den Maßnahmen gehören die Isolierung von Geräten, der Entzug von Anmeldeinformationen und die Weitergabe aktualisierter Bedrohungsdaten. Diese Reaktionen werden über Fortinet und Sicherheitstools von Drittanbietern koordiniert.

4. Integration der Sicherheitsstruktur: FortiXDR lässt sich in Fortinet Security Fabric-Komponenten wie FortiGate, FortiSIEM und FortiMail integrieren, um Erkennung und Reaktion zu ermöglichen. Beispielsweise kann es bösartige E-Mails über FortiMail blockieren oder kompromittierte Geräte über FortiNAC isolieren.

5. Unterstützung von Drittanbietern: FortiXDR zielt darauf ab, Sicherheitslösungen von Drittanbietern durch API-Integrationen zu unterstützen, darunter Firewalls, Identitätsdienste, Ticketing-Plattformen und Cloud Access Security Broker (CASBs). Diese Interoperabilität soll Unternehmen helfen, hybride Umgebungen zu schützen. FortiXDR unterstützt angeblich über 300 Integrationen, was jedoch nur durch die Integration mit FortiSOAR erreicht werden kann, um dessen Integrationen optimal zu nutzen.

6. Schutz vor und nach der Ausführung: FortiXDR basiert auf FortiEDR und bietet Schutz vor Bedrohungen vor und nach der Ausführung. Es schützt potenziell vor Ransomware und anderen Angriffen, ohne den Betrieb zu unterbrechen, und bietet Schutz für Endpunkte, Server und IoT-Geräte.

7. Managed Services: Für Unternehmen, die zusätzliche Unterstützung benötigen, bietet Fortinet Managed eXtended Detection and Response (MxDR)-Dienste an. Diese Dienste umfassen 24/7-Überwachung und Unterstützung bei Bereitstellung, Konfiguration und laufender Optimierung.

8. Unterstützung mehrerer Datenseen: FortiXDR verwaltet keinen eigenen Datensee und benötigt daher eine Verbindung zu FortiAnalyzer oder FortiSIEM.

Integration von FortiEDR und FortiXDR in das Fortinet Security Fabric

Die Integration von FortiEDR und FortiXDR in die Fortinet Security Fabric bietet potenziell einen einheitlichen Ansatz zur Sicherung von Unternehmensumgebungen. Diese Integration kann dazu beitragen, Herausforderungen wie eingeschränkte Bedrohungstransparenz, inkonsistente Richtliniendurchsetzung und Ineffizienzen durch unterschiedliche Sicherheitslösungen zu bewältigen.

FortiEDR soll Endpunkte und Server schützen, indem es Bedrohungen erkennt und Prävention auf Kernel-Ebene bietet. In Kombination mit anderen Sicherheitstools von Fortinet unterstützt es ein vernetztes Cybersicherheits-Ökosystem. FortiXDR erweitert diese Funktionen auf die gesamte Angriffsfläche und korreliert Daten von Endpunkten, Netzwerken, Cloud-Umgebungen und Drittanbieterprodukten.

Zu den Vorteilen dieser Integration gehören:

• Bedrohungstransparenz: FortiEDR und FortiXDR lassen sich in Tools wie FortiAnalyzer und FortiSIEM integrieren und ermöglichen so eine kontinuierliche Überwachung und KI-gestützte Analyse der gesamten Infrastruktur. Sicherheitsteams können Bedrohungen erkennen und korrelieren und so die Erkennungs- und Reaktionszeiten sowohl bei endpunktspezifischen Vorfällen als auch bei umfassenderen Angriffskampagnen verkürzen.
• Automatisierte Sicherheitsorchestrierung: Durch die Integration mit FortiSOAR und FortiNAC ermöglicht FortiXDR die Durchsetzung dynamischer, automatisierter Sicherheitsrichtlinien. Beispielsweise kann FortiNAC verwendet werden, um nicht konforme oder kompromittierte Endpunkte im Netzwerk zu isolieren, während FortiSOAR den Untersuchungs- und Reaktionsprozess mithilfe vorgefertigter Playbooks und Konnektoren automatisiert.
• Schnelle Eindämmung von Bedrohungen: Die Integration verbessert die Fähigkeit, bestätigte Bedrohungen einzudämmen. Während FortiXDR und FortiEDR dabei helfen können, kompromittierte Endpunkte zu isolieren, bösartige IP-Adressen zu blockieren oder die Ausführung verdächtiger Dateien zu verhindern, können FortiGate-Firewalls und FortiMail-E-Mail-Gateways Richtlinien durchsetzen, um bösartigen Datenverkehr oder bei Untersuchungen identifizierte Adressen zu blockieren.
• Schließung von Sicherheitslücken: Die Interoperabilität des Fortinet Security Fabric ermöglicht die Kommunikation zwischen Tools und soll so die Komplexität und Sicherheitslücken beseitigen, die oft durch die Kombination von Einzellösungen verschiedener Anbieter entstehen. FortiXDR und FortiEDR teilen Bedrohungsinformationen über das gesamte Ökosystem.
• Integrationsmöglichkeiten: FortiEDR und FortiXDR unterstützen die Integration sowohl mit Fortinet-Produkten als auch mit Drittanbieterlösungen. Unternehmen können über APIs eine Verbindung zu Tools wie SIEMs, CASBs und Identitätsanbietern herstellen und so eine skalierbare Sicherheitsinfrastruktur schaffen. Beispielsweise analysiert FortiSandbox verdächtige Dateien und hilft so, Zero-Day-Bedrohungen zu verhindern, während Integrationen mit FortiClient die Durchsetzung von Zero Trust Network Access (ZTNA) auf Endpunkte ausweiten.

Verwandte Inhalte: Lesen Sie unseren Leitfaden zurSicherheitsanalyse

Die Einschränkungen von FortiXDR

FortiXDR bietet zwar nützliche Funktionen zur Bedrohungserkennung und -reaktion, weist jedoch einige Einschränkungen auf, die Unternehmen vor der Bereitstellung berücksichtigen sollten. Ein Hauptproblem besteht darin, dass FortiXDR in erster Linie für die Integration mit einer begrenzten Anzahl von Fortinet-Produkten konzipiert ist und Unternehmen die Bereitstellung einer Data-Lake-Quelle erfordert, da keine eigene vorhanden ist. Darüber hinaus wurden von Nutzern auf Gartner Peer Insights folgende Einschränkungen gemeldet:

• Komplexer Einrichtungsprozess: Die Erstkonfiguration von FortiXDR kann eine Herausforderung darstellen, insbesondere für Teams, die mit dem Fortinet-Ökosystem nicht vertraut sind. Die Implementierung und Optimierung erfordert viel Zeit und Aufwand.
• Steile Lernkurve: Aufgrund der KI-gesteuerten automatisierten Antworten benötigen Sicherheitsteams möglicherweise zusätzliche Zeit, um die Funktionen der Plattform vollständig zu verstehen und sich an sie anzupassen.
• Eingeschränkte Integration von Drittanbietern: FortiXDR unterstützt zwar Tools von Drittanbietern, die Integrationsmöglichkeiten sind jedoch nicht so reibungslos wie bei einigen Wettbewerbern. Die Verbesserung der Interoperabilität mit Lösungen anderer Anbieter ist verbesserungswürdig.
• Ressourcenintensiv: FortiXDR kann erhebliche Anforderungen an die Systemressourcen stellen, was die Leistung bei Updates oder der Verarbeitung großer Mengen von Telemetriedaten beeinträchtigen kann.
• Einschränkungen bei Playbooks und Workflows: Im Vergleich zu Wettbewerbern bieten die Reaktions-Playbooks und Workflows von FortiXDR weniger Flexibilität, was die Anpassungsoptionen für einige Organisationen einschränkt.
• Herstellerbindung: FortiXDR funktioniert am besten innerhalb der Fortinet Security Fabric, was zu einer Abhängigkeit von Fortinet-Produkten führen kann. Diese Vendor Lock-in-Funktion kann Risiken bergen, wenn im Ökosystem Probleme auftreten.
• Risiko eines Bluescreens: Aufgrund des kernelbasierten Designs besteht die Möglichkeit, dass es zu Ausfällen wie dem weltweiten CrowdStrike-Ausfall im Juli 2024 kommt.
• Anpassung der Berichterstattung: Das Berichts-Dashboard bietet Verbesserungspotenzial. Benutzer schlagen mehr anpassbare Berichtsoptionen vor, um den Anforderungen der Organisation gerecht zu werden.
• Hohe Wartungskosten: Die Anpassung und laufende Wartung von FortiXDR kann teuer sein, insbesondere für Organisationen, die maßgeschneiderte Konfigurationen benötigen.
• Auswirkungen auf die Integration während Updates: Updates zur Verbesserung des Schutzes können aufgrund der Systemlast den Betrieb vorübergehend unterbrechen und so zu möglichen Störungen des Arbeitsablaufs führen.

Exabeam: Ultimative Fortinet XDR-Alternative

FortiXDR bietet zwar einen integrierten Ansatz zur Erkennung und Reaktion innerhalb der Fortinet Security Fabric, seine Abhängigkeit von vordefinierter Automatisierung und anbieterspezifischer Telemetrie kann jedoch die Flexibilität und Transparenz in unterschiedlichen Sicherheitsumgebungen einschränken.

Exabeam verfolgt einen anderen Ansatz und nutzt SIEM mit UEBA, um tiefere Einblicke in das Benutzer- und Entitätsverhalten in hybriden und Multi-Vendor-Infrastrukturen zu erhalten. Anstatt sich ausschließlich auf Endpunkt- und Netzwerkdaten zu verlassen, sammelt und analysiert Exabeam Sicherheitsprotokolle aus Tausenden von Quellen und wendet Verhaltensanalysen an, um laterale Bewegungen, Insider-Bedrohungen und fortgeschrittene, anhaltende Angriffe zu erkennen, die herkömmlichen XDR-Lösungen möglicherweise entgehen.

Mit einer offeneren und skalierbareren Plattform ermöglicht Exabeam Sicherheitsteams, Bedrohungssignale über die Endpunkterkennung hinaus zu korrelieren, Untersuchungen zu automatisieren und die Bedrohungsbehebung zu beschleunigen – und bietet damit eine anpassungsfähigere und umfassendere Alternative zu anbietergebundenen XDR-Lösungen.

Exabeam ist ein führender Anbieter von Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM), die UEBA, SIEM, SOAR und TDIR kombinieren, um Sicherheitsabläufe zu beschleunigen. Seine Security Operations-Plattformen ermöglichen es Sicherheitsteams, Bedrohungen schnell zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig die betriebliche Effizienz zu steigern.

Hauptmerkmale:

• Skalierbare Protokollerfassung und -verwaltung: Die offene Plattform beschleunigt das Onboarding von Protokollen um 70 %, sodass keine fortgeschrittenen technischen Kenntnisse mehr erforderlich sind, und gewährleistet gleichzeitig eine nahtlose Protokollaggregation in hybriden Umgebungen.
• Verhaltensanalyse: Verwendet erweiterte Analysen, um normales und abnormales Verhalten zu vergleichen und Insider-Bedrohungen, laterale Bewegungen und komplexe Angriffe zu erkennen, die von signaturbasierten Systemen übersehen werden. Kunden berichten, dass Exabeam 90 % der Angriffe erkennt und darauf reagiert, bevor andere Anbieter sie abfangen können.
• Automatisierte Reaktion auf Bedrohungen: Vereinfacht Sicherheitsvorgänge durch Automatisierung der Vorfallzeitpläne, Reduzierung des manuellen Aufwands um 30 % und Beschleunigung der Untersuchungszeiten um 80 %.
• Kontextbezogene Vorfalluntersuchung: Da Exabeam die Zeitleistenerstellung automatisiert und den Zeitaufwand für Routineaufgaben reduziert, verkürzt sich die Zeit für die Erkennung und Reaktion auf Bedrohungen um über 50 %. Vorgefertigte Korrelationsregeln, Modelle zur Anomalieerkennung und Anbieterintegrationen reduzieren die Anzahl der Warnmeldungen um 60 % und minimieren Fehlalarme.
• SaaS- und Cloud-native Optionen: Flexible Bereitstellungsoptionen bieten Skalierbarkeit für Cloud-First- und Hybridumgebungen und gewährleisten eine schnelle Wertschöpfung für Kunden. Für Unternehmen, die ihr SIEM nicht in die Cloud migrieren können oder wollen, bietet Exabeam ein marktführendes, voll funktionsfähiges und selbst gehostetes SIEM.
• Netzwerktransparenz mit NetMon: Bietet tiefe Einblicke über Firewalls und IDS/IPS hinaus, erkennt Bedrohungen wie Datendiebstahl und Botnet-Aktivitäten und erleichtert die Untersuchung durch flexible Suchfunktionen. Deep Packet Analytics (DPA) basiert außerdem auf der NetMon Deep Packet Inspection (DPI)-Engine, um wichtige Indikatoren für Kompromittierungen (IOCs) zu interpretieren.

Exabeam-Kunden betonen immer wieder, wie die KI-gestützten Tools für Echtzeittransparenz, Automatisierung und Produktivität die Sicherheitskompetenz steigern und überforderte Analysten in proaktive Verteidiger verwandeln. Gleichzeitig werden Kosten gesenkt und branchenführender Support gewährleistet. Weitere Informationen finden Sie unter Exabeam.