FortiSIEM: Hauptfunktionen, Preise, Einschränkungen und Alternativen

Was ist FortiSIEM?

FortiSIEM ist eine SIEM-Lösung (Security Information and Event Management), die die Übersicht über IT-Umgebungen ermöglicht. Sie bietet Funktionen für Sicherheitsüberwachung, Vorfallerkennung und Compliance-Reporting. Mit Echtzeitkorrelationen und Analysefunktionen ermöglicht FortiSIEM Unternehmen, auf potenzielle Bedrohungen und Schwachstellen zu reagieren.

Durch die Zusammenführung von Protokollen, Ereignissen und anderen relevanten Daten bietet es eine zentrale Überwachungslösung und gewährleistet, dass Sicherheitsteams volle Transparenz und Kontrolle über die Netzwerkaktivitäten haben. Die Plattform berücksichtigt die Komplexität moderner IT-Umgebungen, indem sie Sicherheitsmanagement mit Leistungsmanagement kombiniert.

ForitSIEM unterstützt verschiedene Bereitstellungsoptionen, darunter Cloud und On-Premises. Die Fähigkeit, Prozesse wie Netzwerkerkennung und Konfigurationsmanagement zu automatisieren, reduziert den manuellen Aufwand und trägt zur Verbesserung der Genauigkeit bei.

Dies ist Teil einer Artikelserie über FortiSIEM.

Hauptfunktionen von FortiSIEM

Einheitliches Sicherheits- und Leistungsmanagement

FortiSIEM bietet eine Plattform, die Sicherheitsinformationsmanagement mit Leistungsüberwachung kombiniert. Unternehmen profitieren von der Möglichkeit, Sicherheitsbedrohungen und Systemleistungskennzahlen zentral zu analysieren. Dieser einheitliche Ansatz ermöglicht Erkenntnisse, die isolierte Überwachungssysteme nicht bieten.

Ereigniskorrelation und -analyse in Echtzeit

FortiSIEM bietet Ereigniskorrelation und -analyse in Echtzeit und ermöglicht so eine schnelle Erkennung und Reaktion auf Bedrohungen. Durch die kontinuierliche Überwachung der Netzwerkaktivität und die Korrelation von Ereignissen aus verschiedenen Quellen kann FortiSIEM Muster erkennen, die auf potenzielle Sicherheitsvorfälle hinweisen. Diese Funktion ist nützlich, um Bedrohungen zu identifizieren, die mehrere Vektoren und Phasen umfassen.

Die Analyse-Engine von FortiSIEM verarbeitet riesige Datenmengen, um schnell umsetzbare Erkenntnisse zu liefern. Mit automatisierten Korrelationsregeln und Warnmechanismen können Sicherheitsteams Vorfälle priorisieren und sich auf die kritischsten Bedrohungen konzentrieren.

Automatisierte Netzwerkerkennung und CMDB

FortiSIEM bietet automatisierte Netzwerkerkennung und CMDB-Funktionen (Configuration Management Database), die ein umfassendes Verständnis der IT-Umgebung ermöglichen. Automatisierte Erkennungsprozesse inventarisieren kontinuierlich alle Geräte, Anwendungen und Dienste im Netzwerk und stellen sicher, dass alle Assets erfasst und überwacht werden.

Die integrierte CMDB verwaltet ein detailliertes Inventar der IT-Assets und ihrer Konfigurationen. Dies ist hilfreich, um Infrastrukturänderungen zu verwalten und Abhängigkeiten zu verstehen. Dadurch werden Lücken geschlossen, die oft durch manuelles Asset-Management entstehen, und alle Ergänzungen oder Änderungen am Netzwerk werden sofort erkannt und bewertet.

Skalierbarkeit und Mandantenfähigkeit

FortiSIEM ist skalierbar und eignet sich für alle Umgebungen – von kleinen Netzwerken bis hin zu großen Unternehmensumgebungen. Es unterstützt außerdem Multi-Tenancy, sodass Managed Service Provider und große Unternehmen FortiSIEM effizient für mehrere Kunden oder Abteilungen einsetzen können. So kann jeder Mandant über isolierte Daten und Konfigurationen verfügen und gleichzeitig von zentraler Verwaltung und Analyse profitieren.

FortiSIEM-Preismodell

Die Preise für FortiSIEM variieren je nach Lizenzmodell, Bereitstellungstyp und Funktionsumfang und ermöglichen so die flexible Anpassung an unterschiedliche Unternehmensanforderungen. Die Plattform bietet verschiedene Lizenzmodelle:

• FortiSIEM Cloud-Lizenzierung: Die Cloud-Version wird auf Basis von FortiSIEM-Recheneinheiten (FCUs) lizenziert, die Ereignisse pro Sekunde (EPS) und Speicheranforderungen abdecken. Dieses Modell vereinfacht die Bereitstellung und Verwaltung und ermöglicht isolierte Instanzen mit integriertem Support. FCUs können je nach Nutzung angepasst werden.
• Abonnement-/OPEX-Lizenzierung: FortiSIEM bietet Optionen basierend auf der Datenaufnahme in Gigabyte pro Tag oder Geräten/Ereignissen pro Sekunde (EPS). Diese Modelle eignen sich für Unternehmen, die skalierbare Bereitstellungen virtueller Maschinen (VM) benötigen oder abonnementbasierte Preise für vorhersehbare Kosten bevorzugen.
• Unbefristete/CAPEX-Lizenzierung: Für Unternehmen mit speziellem Hardwarebedarf bietet FortiSIEM eine einmalige Lizenz für Geräte, EPS und verschiedene Überwachungsagenten an. Support und erweiterte Funktionen wie IOC-Dienste (Indicators of Compromise) sind über zusätzliche Abonnementlizenzen verfügbar.
• MSSP PAYG (Pay-As-You-Go): Managed Security Service Provider (MSSPs) können ein flexibles, nutzungsbasiertes Modell nutzen, dessen Kosten an die Nutzung von Geräten, Agenten und UEBA (User and Entity Behavior Analytics) gebunden sind. Diese Option umfasst Support und IOC-Dienste in einer jährlichen Gebühr.

Andere bemerkenswerte Fortinet-Produkte

FortiGate

FortiGate ist die führende Firewall-Lösung von Fortinet und bietet Sicherheitsfunktionen wie Intrusion Prevention, Webfilterung, VPN und Anwendungskontrolle. Basierend auf den maßgeschneiderten Sicherheitsprozessoren von Fortinet bietet FortiGate schnellen Bedrohungsschutz für kleine und große Unternehmen. Die Plattform nutzt KI-basierte Bedrohungsinformationen von FortiGuard Labs.

Der Unified Threat Management (UTM)-Ansatz von FortiGate ermöglicht die Konsolidierung mehrerer Sicherheitsfunktionen, vereinfacht die Verwaltung und reduziert den Bedarf an mehreren Geräten. Dank der Unterstützung der SD-WAN-Integration unterstützt FortiGate Unternehmen bei der Optimierung der Netzwerkleistung und der sicheren Anbindung von Zweigstellen.

Source: Fortinet

FortiWeb

FortiWeb ist die Web Application Firewall (WAF)-Lösung von Fortinet und schützt Webanwendungen vor Bedrohungen wie SQL-Injection, Cross-Site-Scripting (XSS) und DDoS-Angriffen. Mithilfe von maschinellem Lernen erkennt FortiWeb anomales Verhalten und passt sich so an die Nutzungsmuster der Anwendung an.

FortiWeb lässt sich in andere Fortinet-Produkte integrieren und bietet so eine einheitliche Sicherheitsarchitektur. Es ist in verschiedenen Bereitstellungsmodi verfügbar, darunter vor Ort, virtuell und in der Cloud. Die Plattform bietet API-Schutz, Bot-Minderung und integrierte Schwachstellen-Scans.

Source: Fortinet

Fortinet SOAR

Fortinet SOAR (Security Orchestration, Automation, and Response) optimiert den Sicherheitsbetrieb durch die Automatisierung wiederkehrender Aufgaben und die Orchestrierung von Arbeitsabläufen zur Reaktion auf Sicherheitsvorfälle. Dank der Integration mit einer Vielzahl von Sicherheitstools vereinfacht es die Untersuchung von Sicherheitsvorfällen und ermöglicht eine schnellere Reaktion. Es bietet anpassbare Playbooks für häufige Sicherheitsereignisse.

Fortinet SOAR eignet sich besonders für große Organisationen mit komplexen Sicherheitsumgebungen, da es Warnmeldungen aus verschiedenen Quellen zentralisiert und die Warnmeldungsflut reduziert. Die Lösung unterstützt Analysten durch die Automatisierung von Priorisierung und Reaktion.

Source: Fortinet

FortiXDR

FortiXDR (Extended Detection and Response) ist Fortinets Plattform für schichtübergreifende Erkennung und automatisierte Reaktion. FortiXDR vereint Daten von Endpunkten, Netzwerkgeräten und der Cloud und bietet so einen ganzheitlichen Überblick über die Sicherheitslandschaft. Mithilfe KI-gestützter Analysen erkennt es komplexe Angriffsmuster, die durch isolierte Überwachungssysteme möglicherweise nicht sichtbar sind.

Die Lösung automatisiert die Erkennung und Reaktion auf Bedrohungen und verkürzt so die durchschnittliche Zeit bis zur Erkennung und Behebung. Mit FortiXDR profitieren Sicherheitsteams von korrelierten Erkenntnissen und koordinierten Reaktionsmöglichkeiten.

Source: Fortinet

FortiGuard MDR

FortiGuard MDR (Managed Detection and Response) ist ein verwalteter Sicherheitsdienst, der menschliches Fachwissen mit Fortinets Technologie kombiniert, um rund um die Uhr Bedrohungsüberwachung, -erkennung und -reaktion zu gewährleisten. Dieser Service eignet sich für Unternehmen, die Sicherheitsabdeckung benötigen, aber nicht über die internen Ressourcen für ein dediziertes Security Operations Center (SOC) verfügen.

FortiGuard MDR nutzt die Bedrohungsinformationen von FortiGuard Labs und die Sicherheitsprodukte von Fortinet, um Bedrohungen in Echtzeit zu erkennen und zu entschärfen. Der Service umfasst proaktive Bedrohungssuche, Vorfalluntersuchung und Expertenberatung zur Problembehebung.

Source: Fortinet

FortiGuard SOC als Service

FortiGuard SOC as a Service (SOCaaS) ist eine cloudbasierte Security Operations Center-Lösung mit Fokus auf kontinuierlicher Überwachung, Bedrohungserkennung und Incident Response. Sie ist als schlüsselfertiger Service konzipiert, der Unternehmen Transparenz und Verwaltung ihrer Sicherheitsinfrastruktur ohne ein eigenes SOC-Team bietet.

Der Dienst ist in Fortinets Security Fabric integriert, um die Überwachung von Sicherheitsereignissen über Netzwerk-, Endpunkt- und Anwendungsebenen hinweg zu vereinheitlichen. Er nutzt FortiGuard Bedrohungsintelligenz Services und KI-basierte Analysen, um Bedrohungen zu erkennen und darauf zu reagieren. FortiGuard SOCaaS-Analysten bieten Überwachung, Vorfall-Triage und Eskalation zur Bewältigung von Bedrohungen.

FortiAnalyzer

FortiAnalyzer ist die Log-Management- und Sicherheitsanalyseplattform von Fortinet. Sie bietet Unternehmen Bedrohungserkennung, Ereigniskorrelation und automatisierte Reaktion auf Vorfälle. Integriert in die Fortinet Security Fabric bietet sie eine Konsole zur Überwachung von Sicherheitsereignissen im gesamten Netzwerk.

Die Plattform soll die Netzwerktransparenz verbessern, indem sie Protokolle von Fortinet-Produkten wie FortiGate, FortiClient, FortiWeb und FortiEDR aggregiert und analysiert. Sicherheitsteams können vordefinierte Ereignishandler und Korrelationsregeln verwenden, um Advanced Persistent Threats (APTs) und Indicators of Compromise (IOCs) zu erkennen. FortiAnalyzer unterstützt außerdem automatisierte Workflows und Playbooks.

FortiAnalyzer ist als Hardware-Appliance, virtuelle Maschine (VM) oder Cloud-basierter Dienst verfügbar. Es unterstützt auch die Weiterleitung und Integration von Protokollen von Drittanbietern.

FortiSIEM-Einschränkungen

Trotz seines umfassenden Funktionsumfangs weist FortiSIEM gewisse Einschränkungen auf, die seine Benutzerfreundlichkeit und Effektivität beeinträchtigen können. Diese Einschränkungen wurden von Benutzern der G2-Plattform gemeldet:

• Begrenzte Anpassungsmöglichkeiten bei den Antworten des technischen Supports: Einige Benutzer haben den Eindruck, dass der Support von FortiSIEM auf allgemeinen, automatisierten Antworten beruht, denen möglicherweise die für komplexe Probleme und Benutzerschulungen erforderliche Tiefe fehlt.
• Verzögerter technischer Support: Benutzer haben von erheblichen Verzögerungen bei der Problemlösung durch das Support-Team von Fortinet berichtet.
• Veraltete Benutzeroberfläche: Die Web-Benutzeroberfläche wird oft als veraltet und schwierig zu verwenden beschrieben.
• Häufige Fehlalarme: FortiSIEM neigt dazu, eine hohe Anzahl von Fehlalarmen zu generieren, was zu Störungen führt, die die Bedrohungserkennung erschweren. Es bietet zwar die Möglichkeit zur Feinabstimmung der Regeln, der Prozess ist jedoch komplex und zeitaufwändig.
• Kompatibilitätsprobleme: Die Integration von FortiSIEM in andere Netzwerkinfrastrukturprodukte kann schwierig sein, was seine Anpassungsfähigkeit in heterogenen Umgebungen einschränkt.
• Hoher Ressourcenverbrauch: Die Plattform ist ressourcenintensiv und erfordert für einen effektiven Betrieb erhebliche Netzwerk- und Systemressourcen, was kleinere IT-Umgebungen belasten kann.
• Komplexe Konfiguration und steile Lernkurve: Obwohl die Konfiguration grundsätzlich möglich ist, können die Ersteinrichtung und die Feinabstimmung selbst für erfahrene Benutzer verwirrend sein. Dies führt zu einer längeren Lernkurve und zusätzlicher Einrichtungszeit.
• Zeitweise auftretende Systemverzögerung: Benutzer haben beobachtet, dass es bei FortiSIEM zu Verzögerungen kommen kann, insbesondere beim Erstellen von Berichten oder Aktualisieren der Serverkonsole, was die Analyse- und Berichtsprozesse verlangsamen kann.

Bemerkenswerte FortiSIEM-Konkurrenten und Alternativen

1. Exabeam

Die Security Operations Platform von Exabeam bietet eine Cloud-native Lösung mit Fokus auf Bedrohungserkennung, -untersuchung und -reaktion (TDIR). Sie nutzt Verhaltensanalysen und Automatisierung, um Sicherheitsbedrohungen in verschiedenen Umgebungen zu identifizieren und zu bekämpfen.

Hauptmerkmale:

• Verhaltensanalyse: Nutzt User and Entity Behavior Analytics (UEBA), um normale Aktivitätsmuster zu ermitteln und Abweichungen wie Insider-Bedrohungen oder kompromittierte Konten zu erkennen.
• Automatisierte TDIR-Workflows: Automatisiert die Erstellung von Vorfallzeitleisten und korreliert Sicherheitsereignisse, um den manuellen Untersuchungsaufwand zu reduzieren.
• Cloud-native Skalierbarkeit: Entwickelt für die Verarbeitung großer Mengen an Sicherheitsdaten und unterstützt die schnelle Aufnahme und effiziente Abfrage bei groß angelegten Bereitstellungen.
• Umfangreiche Integrationen: Verbindung mit zahlreichen Sicherheitstools und Datenquellen von Drittanbietern und ermöglicht so die Datenerfassung aus unterschiedlichen Umgebungen.
• Generative KI-Unterstützung: Integriert generative KI-Funktionen, um Sicherheitsanalysten bei Abfragen in natürlicher Sprache und der Zusammenfassung von Untersuchungsdaten zu unterstützen.

Source: Exabeam

2. Splunk Enterprise

Splunk Enterprise ist eine Plattform zum Suchen, Analysieren und Visualisieren unternehmensweiter Daten. Sie kann große Datenmengen aus unterschiedlichen Quellen verarbeiten.

Hauptfunktionen von Splunk Enterprise:

• End-to-End-Sichtbarkeit: Ermöglicht Sichtbarkeit über alle Datenquellen hinweg, von Edge-Geräten bis zur Cloud.
• Datenexploration und -analyse: Bietet Funktionen zum Erkunden von Daten aus beliebigen Quellen innerhalb einer Organisation.
• Benutzerdefinierte Dashboards und Visualisierungen: Benutzer können personalisierte Dashboards und Visualisierungen erstellen.
• Einheitliches Hybriderlebnis: Unterstützt Datenzugriff und -überwachung in lokalen, Cloud- und Hybridumgebungen.
• Integration von maschinellem Lernen und KI: Nutzt KI und maschinelles Lernen für prädiktive Analysen und ermöglicht so proaktive Sicherheitsmaßnahmen und bessere Geschäftsergebnisse.

Source: Splunk 

3. IBM Security QRadar SIEM

IBM Security QRadar SIEM ist eine Plattform für Sicherheitsinformationen und Ereignismanagement, die die Effizienz von Security Operations Centern (SOCs) durch KI, Automatisierung und integrierte Bedrohungsinformationen verbessert. Analysten erhalten Tools, die Hochrisikobedrohungen priorisieren, die Vorfallkorrelation vereinfachen und sich wiederholende Aufgaben reduzieren.

Hauptfunktionen von IBM Security QRadar SIEM:

• Risikobasierte Priorisierung von Warnmeldungen: Verwendet KI-gesteuerte Risikobewertungen, um Warnmeldungen nach Schweregrad zu priorisieren, sodass sich Analysten auf die kritischsten Fälle konzentrieren können.
• Vorfallkorrelation und -automatisierung: Fasst verwandte Warnungen in einer Ansicht zusammen, reduziert Fehlalarme und automatisiert die Fallerstellung, um SOC-Workflows zu optimieren.
• Bedrohungserkennung: Unterstützt die Suche und Erkennung fortgeschrittener Bedrohungen wie Ransomware und nutzt dabei IBM X-Force ^® Bedrohungsintelligenz und Netzwerkanalysen.
• Benutzerverhaltensanalyse (UBA): Verwendet verhaltensbasierte Analysen, um Insider-Bedrohungen und Anomalien bei Benutzeraktivitäten zu erkennen.
• Umfangreiche Integrationen: Bietet über 700 vorgefertigte Integrationen und Erweiterungen und gewährleistet so die Interoperabilität mit vorhandenen Sicherheitstools und Datenquellen.

Source: IBM

4. Securonix Unified Defense SIEM

Securonix Unified Defense SIEM ist eine Cloud-native Lösung für Sicherheitsinformationen und Ereignismanagement, die Unternehmen die Erkennung, Untersuchung und Reaktion auf Bedrohungen (TDIR) vereinfacht. Basierend auf der skalierbaren Data Cloud von Snowflake ermöglicht es Unternehmen, große Datenmengen zu verwalten und gleichzeitig durchsuchbare Daten für bis zu 365 Tage bereitzustellen.

Hauptfunktionen von Securonix Unified Defense SIEM:

• Skalierbarer Daten-Cloud-Speicher: Nutzt die Daten-Cloud von Snowflake, um umfangreiche Datenanforderungen mit einem einstufigen Speichermodell zu bewältigen.
• Einheitliche TDIR-Schnittstelle: Kombiniert SIEM- und SOAR Funktionen in einer einzigen Schnittstelle.
• Bedrohungsinhalte als Service: Bietet kontinuierlich aktualisierte Inhalte zur Bedrohungserkennung, die von Securonix Threat Labs kuratiert werden.
• Kollaborative Bedrohungsabwehr: Unterstützt den gemeinsamen Informationsaustausch und die autonome Bedrohungssuche.
• Autonomous Threat Sweeper (ATS): Ermöglicht proaktives Scannen der Umgebung auf potenzielle Gefährdungen.

Source: Securonix

5. Rapid7 InsightIDR

Rapid7 InsightIDR ist ein SIEM der nächsten Generation für Cloud-First- und Hybridumgebungen und bietet eine skalierbare und agile Lösung für moderne Bedrohungserkennung und -reaktion. Durch die Kombination von Verhaltenserkennung, Analyse und von Experten geprüfter Bedrohungsinformation bietet InsightIDR eine hochpräzise Ansicht der Angriffsfläche eines Unternehmens.

Hauptfunktionen von Rapid7 InsightIDR:

• Verhaltensanalyse und Bedrohungsinformationen: Verwendet KI-gesteuerte Verhaltenserkennung und kontinuierlich aktualisierte Bedrohungsinformationen.
• Reaktion auf Vorfälle: Bietet kontextreiche Untersuchungszeitpläne mit detaillierten Angaben zu Angriffstechniken, Auswirkungen und Reaktionsempfehlungen.
• Cloud-fähige Skalierbarkeit: InsightIDR wurde für eine schnelle Bereitstellung entwickelt und wandelt unterschiedliche Daten schnell in umsetzbare Erkenntnisse um.
• Analyse des Benutzer- und Entitätsverhaltens (UEBA): Erkennt Anomalien im Benutzer- und Entitätsverhalten und erhöht so die Transparenz potenzieller Insider-Bedrohungen und ungewöhnlicher Aktivitätsmuster.
• Ausrichtung auf das MITRE ATT&CK Framework: Ordnet Erkennungen dem MITRE ATT&CK-Framework zu und bietet SOC-Teams eine geordnete Ansicht der Taktiken, Techniken und Verfahren (TTPs) im Zusammenhang mit bekannten Bedrohungen.

Source: Rapid7 

Erfahren Sie mehr in unserem ausführlichen Leitfaden zuFortinet-Konkurrenten 

Abschluss

FortiSIEM ist eine umfassende SIEM-Lösung, die Sicherheitsüberwachung, Vorfallerkennung und Compliance-Management bietet. Die integrierte Plattform vereint Sicherheits- und Leistungsüberwachung und bietet eine vielseitige Option für verschiedene Organisationen. FortiSIEM bietet Echtzeitanalysen, automatisierte Netzwerkerkennung und Skalierbarkeit. Potenzielle Nutzer sollten jedoch Faktoren wie Einrichtungskomplexität und Ressourcenbedarf berücksichtigen. In manchen Fällen kann es sinnvoll sein, alternative SIEM-Lösungen in Betracht zu ziehen.