Fortinet:SOCaaS: Unterschied zwischen den Versionen
4Tinu (Diskussion | Beiträge) |
4Tinu (Diskussion | Beiträge) |
||
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 5: | Zeile 5: | ||
__TOC__ | __TOC__ | ||
= Vorwort = | |||
Diese Seite erklärt den Fortinetservice SOCaaS | Diese Seite erklärt den Fortinetservice SOCaaS | ||
= Datenschutz = | |||
<small> | <small> | ||
<pre> | <pre> | ||
Zeile 26: | Zeile 26: | ||
</pre> | </pre> | ||
</small> | </small> | ||
== | =FAQ= | ||
===Service Übersicht | == Dokumentationen == | ||
=== User Guides === | |||
* [[Datei:SOCaaS-UserGuide.pdf]] <small>24.2</small> | |||
---- | |||
<small>add 23.07.2024</small> | |||
=== Konfiguration FAZ und FGT === | |||
* [[Datei:SOCaaS-PrerequisiteConfigurationGuide.pdf]] <small>23.2</small> | |||
---- | |||
<small>add 23.07.2024</small> | |||
=== Best Practice=== | |||
* [[Datei:SOCaaS-FortiGate-BotnetDetectionTuning.pdf]] | |||
---- | |||
<small>add 23.07.2024</small> | |||
===Release Notes=== | |||
* [[datei:SOCaaS-ReleaseNotes-24.2]] | |||
* [[datei:SOCaaS-ReleaseNotes-24.1a]] | |||
* [[datei:SOCaaS-ReleaseNotes-23.4b]] | |||
* [[datei:SOCaaS-ReleaseNotes-23.4]] | |||
---- | |||
<small>add 23.07.2024</small> | |||
==Service Übersicht== | |||
===Was ist SOCaaS=== | |||
SOCaaS (Security Operations Center as a Service) ist ein cloudbasierter Service von Fortinet, der dich dabei unterstützt, deine IT-Sicherheit zu überwachen und zu schützen. Dieser Service nutzt die Fortinet Security Fabric, um deine Sicherheitsereignisse von deinen Fabric-Geräten zu sammeln und in die SOCaaS-Cloud zu übertragen. | SOCaaS (Security Operations Center as a Service) ist ein cloudbasierter Service von Fortinet, der dich dabei unterstützt, deine IT-Sicherheit zu überwachen und zu schützen. Dieser Service nutzt die Fortinet Security Fabric, um deine Sicherheitsereignisse von deinen Fabric-Geräten zu sammeln und in die SOCaaS-Cloud zu übertragen. | ||
Zeile 37: | Zeile 60: | ||
<small>edit 05.12.2023 - 4Tinu</small> | <small>edit 05.12.2023 - 4Tinu</small> | ||
===Was ist die Verfügbarkeit dieses Services?=== | |||
Der Service läuft rund um die Uhr, an 7 Tagen die Woche und 365 Tagen im Jahr mit Sicherheitsexperten, die Untersuchungen und Incident Triage leiten. | Der Service läuft rund um die Uhr, an 7 Tagen die Woche und 365 Tagen im Jahr mit Sicherheitsexperten, die Untersuchungen und Incident Triage leiten. | ||
===Wo ist das SOC-Team ansässig? === | |||
Das Fortinet SOC ist in Nordamerika, der EMEA-Region und der APAC-Region ansässig. | Das Fortinet SOC ist in Nordamerika, der EMEA-Region und der APAC-Region ansässig. | ||
[[Datei:Fortinet-3331.jpg|750px|link=]] | [[Datei:Fortinet-3331.jpg|750px|link=]] | ||
Zeile 51: | Zeile 74: | ||
<small>edit 30.11.2023 - 4Tinu</small> | <small>edit 30.11.2023 - 4Tinu</small> | ||
===Wo befindet sich das Rechenzentrum für die Logdatensammlung? === | |||
Fortinet verfügt über Rechenzentren in Nordamerika, der EMEA-Region und der APAC-Region. | Fortinet verfügt über Rechenzentren in Nordamerika, der EMEA-Region und der APAC-Region. | ||
[[Datei:Fortinet-3330.jpg|750px|link=]] | [[Datei:Fortinet-3330.jpg|750px|link=]] | ||
Zeile 64: | Zeile 87: | ||
<small>edit 30.11.2023 - 4Tinu</small> | <small>edit 30.11.2023 - 4Tinu</small> | ||
===Auf welchen Technologien oder Tools basiert das SOC? === | |||
FortiGuard Bedrohungs-Intelligenz und eine Industrie-Standard SOAR-Plattform. | FortiGuard Bedrohungs-Intelligenz und eine Industrie-Standard SOAR-Plattform. | ||
===Wie gross ist die Bedrohungserkennungsabdeckung des SOC? === | |||
Die SOC-Anwendungsfälle sind der Cyber Kill Chain zugeordnet. | Die SOC-Anwendungsfälle sind der Cyber Kill Chain zugeordnet. | ||
===Was ist das tägliche Logdaten-Limit?=== | |||
Es gibt kein tägliches Logdaten-Limit. | Es gibt kein tägliches Logdaten-Limit. | ||
===Was ist die Logdaten-Aufbewahrungspolitik? === | |||
Standardmässig werden Logdaten für 90 Tage aufbewahrt. | Standardmässig werden Logdaten für 90 Tage aufbewahrt. | ||
===Wie unterscheidet sich SOCaaS von FortiAnalyzer Cloud?=== | |||
FortiAnalyzer Cloud ist für die Selbstverwaltung von Logdatenen und Analysen durch Kunden gedacht. | FortiAnalyzer Cloud ist für die Selbstverwaltung von Logdatenen und Analysen durch Kunden gedacht. | ||
SOCaaS ist ein verwalteter Service, der auf der FortiAnalyzer Cloud-Instanz für Logdatenüberwachung, Incident Detection und Eskalation aktiviert werden kann. | SOCaaS ist ein verwalteter Service, der auf der FortiAnalyzer Cloud-Instanz für Logdatenüberwachung, Incident Detection und Eskalation aktiviert werden kann. | ||
===In welchen Regionen ist SOCaaS verfügbar?=== | |||
Der Service steht weltweit allen Kunden zur Verfügung. | Der Service steht weltweit allen Kunden zur Verfügung. | ||
===Welche Arten von SOCaaS-Implementierungen werden unterstützt?=== | |||
Es gibt zwei Bereitstellungsoptionen: | Es gibt zwei Bereitstellungsoptionen: | ||
Zeile 90: | Zeile 113: | ||
# Fabric-Geräteüberwachung über die FortiAnalyzer Cloud des Kunden. | # Fabric-Geräteüberwachung über die FortiAnalyzer Cloud des Kunden. | ||
===Welche SLA gelten für den SoCaaS? === | |||
Die Tabelle unten zeigt die Zeit bis zur Benachrichtigung der Eskalationsmatrix für einen bestätigten Vorfall, basierend auf Schweregrad. | Die Tabelle unten zeigt die Zeit bis zur Benachrichtigung der Eskalationsmatrix für einen bestätigten Vorfall, basierend auf Schweregrad. | ||
Zeile 165: | Zeile 188: | ||
|Ein Mitglied des SOC-Teams wird im Rahmen der SLA-Zeit ein Fortschrittsupdate liefern. | |Ein Mitglied des SOC-Teams wird im Rahmen der SLA-Zeit ein Fortschrittsupdate liefern. | ||
|} | |} | ||
=== Wie sieht so ein Alarm Mail des SoCaaS Dienstes aus? === | === Wie sieht so ein Alarm Mail des SoCaaS Dienstes aus? === | ||
Hier ein Beispielmail einer Alarmierung: | Hier ein Beispielmail einer Alarmierung: | ||
Zeile 186: | Zeile 210: | ||
---- | ---- | ||
<small>edit 17.04.2024 - 4Tinu</small> | <small>edit 17.04.2024 - 4Tinu</small> | ||
== Onboarding== | |||
=== Wie funktioniert das SOCaaS Onboarding? === | === Wie funktioniert das SOCaaS Onboarding? === | ||
Der SOCaaS-Onboarding-Prozess umfasst die folgenden Schritte: | Der SOCaaS-Onboarding-Prozess umfasst die folgenden Schritte: | ||
* [[Fortinet:SOCaaS#Schritt_1:_Registriere_deine_Geräte_mit_der_SOCaaS-Lizenz|'''Schritt 1:''' Registriere deine Geräte mit der SOCaaS-Lizenz]] | |||
* [[Fortinet:SOCaaS#Schritt_2:_Vervollständige_die_Onboarding-Anfrage_über_das_FortiCloud_SOCaaS-Portal|'''Schritt 2:''' Vervollständige die Onboarding-Anfrage über das FortiCloud SOCaaS-Portal]] | |||
* [[Fortinet:SOCaaS#Schritt_3:_Einrichtung_von_SOCaaS_auf_deinem_FortiAnalyzer|'''Schritt 3:''' Einrichtung von SOCaaS auf deinem FortiAnalyzer]] | |||
Voraussetzungen | <h4>Voraussetzungen</h4> | ||
Bevor du mit dem Onboarding-Prozess beginnst, stelle sicher, | |||
dass du die erforderlichen Konfigurationen auf deinen FortiGates und FortiAnalyzers abgeschlossen hast, | |||
um dein SOCaaS-Abonnement zu optimieren. | |||
Bevor du mit dem Onboarding-Prozess beginnst, stelle sicher, dass du die erforderlichen Konfigurationen auf deinen FortiGates und FortiAnalyzers abgeschlossen hast, um dein SOCaaS-Abonnement zu optimieren. | |||
<h4>Schritt 1: Registriere deine Geräte mit der SOCaaS-Lizenz</h4> | <h4>Schritt 1: Registriere deine Geräte mit der SOCaaS-Lizenz</h4> | ||
Um deine Geräte mit der SOCaaS-Lizenz zu registrieren: | Um deine Geräte mit der SOCaaS-Lizenz zu registrieren: | ||
Melde dich bei deinem FortiCloud-Konto an. | # Melde dich bei deinem FortiCloud-Konto an. | ||
Registriere | # Registriere deine FortiGate unter <code> Register Product</code> mit der SOCaaS-Lizenz. | ||
Klicke auf den Link, um zum SOCaaS-Portal zu gelangen. Siehe Schritt 2 | # Klicke auf den Link, um zum SOCaaS-Portal zu gelangen. Siehe Schritt 2 | ||
< | <h4>Schritt 2: Vervollständige die Onboarding-Anfrage über das FortiCloud SOCaaS-Portal</h4> | ||
{| class="wikitable" style="width:850px" | |||
|- | |||
| style="width:50px;background-color: #FF7730;"| <span>[[File:wichtig.svg|50px|link=]]</span> | |||
| style="background-color: #FFB991"| | |||
Der Schritt 2 ist entscheidend und muss abgeschlossen werden, um Verzögerungen beim Onboarding zu vermeiden. | |||
|} | |||
Um die Onboarding-Anfrage | Um die Onboarding-Anfrage abzuschliessen: | ||
# Melde dich bei deinem FortiCloud-Konto an. | |||
# Gehe zu <code>Services</code>→<code>Cloud Services</code>→<code>SOCaaS</code>. Die SOCaaS-Willkommensseite wird geöffnet. | |||
# Klicke auf die Schaltfläche <code> Start Onboarding</code>, um den SOCaaS-Onboarding-Assistenten zu starten. Die vollständigen Schritte zum Onboarding mit dem SOCaaS-Onboarding-Assistenten findest du im SOCaaS-Benutzerhandbuch. | |||
# '''Warte vor dem nächsten Schritt auf eine E-Mail vom SOCaaS-Onboarding-Team''', in welcher die nächsten Schritte und Anweisungen enthalten sind. | |||
[[Datei:Fortinet-3413.jpg|750px|link=]] | |||
<h4>Schritt 3: Einrichtung von SOCaaS auf deinem FortiAnalyzer</h4> | |||
{| class="wikitable" style="width:850px" | |||
|- | |||
| style="width:50px;background-color: #276ef1;"| <span>[[File:info.svg|50px|link=]]</span> | |||
| style="background-color: #A9C5F9"| | |||
Wenn du die FortiAnalyzer Cloud verwendest, sind die folgenden Schritte nicht erforderlich. | |||
< | |} | ||
Um deinen FortiAnalyzer einzurichten: | Um deinen FortiAnalyzer einzurichten: | ||
#Konfiguriere deine FortiAnalyzer-Geräte so, dass sie Logs an SOCaaS weiterleiten, indem du den Anweisungen in der E-Mail vom SOCaaS-Onboarding-Team folgst. Die vollständigen Schritte findest du unter "Konfigurieren eines lokalen FortiAnalyzers". | |||
#Antworte auf die E-Mail von Fortinet-SOC@fortinet.com, um zu bestätigen, dass die Log-Weiterleitungskonfiguration abgeschlossen ist. | |||
#Warte auf eine Bestätigungs-E-Mail vom SOCaaS-Onboarding-Team. Diese Nachricht informiert dich, wenn das Onboarding abgeschlossen ist. Dies kann bis zu drei Werktage (Pacific Standard Time) dauern. | |||
Diese Informationen sind alle auch im Onboarding Guide dokumentiert: | |||
* [[Datei:SOCaaS-Onboarding-QuickStart.pdf]] <small>23.4</small> | |||
* [[Datei:SOCaaS-MSSP-Onboarding-QuickStart.pdf]] <small>23.4</small> | |||
---- | |||
<small>add 05.07.2024 - 4Tinu</small> |
Aktuelle Version vom 23. Juli 2024, 06:38 Uhr
Fortinet:SOCaaS
Vorwort
Diese Seite erklärt den Fortinetservice SOCaaS
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
Dokumentationen
User Guides
add 23.07.2024
Konfiguration FAZ und FGT
add 23.07.2024
Best Practice
add 23.07.2024
Release Notes
- Datei:SOCaaS-ReleaseNotes-24.2
- Datei:SOCaaS-ReleaseNotes-24.1a
- Datei:SOCaaS-ReleaseNotes-23.4b
- Datei:SOCaaS-ReleaseNotes-23.4
add 23.07.2024
Service Übersicht
Was ist SOCaaS
SOCaaS (Security Operations Center as a Service) ist ein cloudbasierter Service von Fortinet, der dich dabei unterstützt, deine IT-Sicherheit zu überwachen und zu schützen. Dieser Service nutzt die Fortinet Security Fabric, um deine Sicherheitsereignisse von deinen Fabric-Geräten zu sammeln und in die SOCaaS-Cloud zu übertragen.
Dieses SOCaaS-Team führt eine erste Analyse der Ereignisse durch, wobei die FortiGuard-Bedrohungsdatenbank und eine industrieweit führende SOAR-Plattform (Security Orchestration, Automation, and Response) verwendet wird, um Bedrohungen zu identifizieren und zu priorisieren.
Wenn ein Sicherheitsvorfall bestätigt wird, eskaliert Fortinet diesen an dich, damit du entsprechend reagieren kannst. SOCaaS bietet dir eine benutzerfreundliche und skalierbare Möglichkeit, deine Sicherheitsbedürfnisse zu erfüllen, ohne dass du eine eigene SOC-Infrastruktur aufbauen und verwalten musst.
edit 05.12.2023 - 4Tinu
Was ist die Verfügbarkeit dieses Services?
Der Service läuft rund um die Uhr, an 7 Tagen die Woche und 365 Tagen im Jahr mit Sicherheitsexperten, die Untersuchungen und Incident Triage leiten.
Wo ist das SOC-Team ansässig?
Das Fortinet SOC ist in Nordamerika, der EMEA-Region und der APAC-Region ansässig.
Karte hat den Stand vom November 2023
Im November 2023 sind folgende SoC Center für die intervension auf der Welt bereit:
- Burnaby
- Ottawa
- Prag (EU)
- Singapur
edit 30.11.2023 - 4Tinu
Wo befindet sich das Rechenzentrum für die Logdatensammlung?
Fortinet verfügt über Rechenzentren in Nordamerika, der EMEA-Region und der APAC-Region.
Karte hat den Stand vom November 2023
Im November 2023 sind folgende Rechenzenter für die Datenspeicherung aktiv:
- Burnaby
- San Jose
- Frankfurt (EU)
- Tokio
- Sydney
edit 30.11.2023 - 4Tinu
Auf welchen Technologien oder Tools basiert das SOC?
FortiGuard Bedrohungs-Intelligenz und eine Industrie-Standard SOAR-Plattform.
Wie gross ist die Bedrohungserkennungsabdeckung des SOC?
Die SOC-Anwendungsfälle sind der Cyber Kill Chain zugeordnet.
Was ist das tägliche Logdaten-Limit?
Es gibt kein tägliches Logdaten-Limit.
Was ist die Logdaten-Aufbewahrungspolitik?
Standardmässig werden Logdaten für 90 Tage aufbewahrt.
Wie unterscheidet sich SOCaaS von FortiAnalyzer Cloud?
FortiAnalyzer Cloud ist für die Selbstverwaltung von Logdatenen und Analysen durch Kunden gedacht.
SOCaaS ist ein verwalteter Service, der auf der FortiAnalyzer Cloud-Instanz für Logdatenüberwachung, Incident Detection und Eskalation aktiviert werden kann.
In welchen Regionen ist SOCaaS verfügbar?
Der Service steht weltweit allen Kunden zur Verfügung.
Welche Arten von SOCaaS-Implementierungen werden unterstützt?
Es gibt zwei Bereitstellungsoptionen:
- Fabric-Geräteüberwachung über den vom Kunden betriebene FortiAnalyzer vor Ort.
- Fabric-Geräteüberwachung über die FortiAnalyzer Cloud des Kunden.
Welche SLA gelten für den SoCaaS?
Die Tabelle unten zeigt die Zeit bis zur Benachrichtigung der Eskalationsmatrix für einen bestätigten Vorfall, basierend auf Schweregrad.
Eskalation von Warnmeldungen
Reaktionszeit der Benachrichtigung, wenn ein Alarm entdeckt wird. SOC-Portal-Alarm und E-Mail-Benachrichtigung
Severity | SLA | Alamierungskanal | Alarmeskalation Ein Vorfall wurde entdeckt |
Critical | 15 Min | E-Mail und Telefonanruf* *falls für den Kunden OK |
Eskalation innerhalb von 15 Min |
High | 45 Min | Eskalation innerhalb von 45 Min | |
Medium | 1.5h | Eskalation innerhalb von 1.5h | |
Low | 6h | Eskalation innerhalb von 6h |
Kommentare zu Alarme
Antwort von SOC als Antwort auf Kundenkommentare (Fragen oder Anfragen)
Severity | SLA | Erste Antwort Bestätigung |
Progress Update |
Critical | 15 Min |
automatische Bestätigung, dass die Kundennachricht eingegangen ist und das SOC-Team an der Anfrage arbeitet |
Ein Mitglied des SOC-Teams wird im Rahmen der SLA-Zeit ein Fortschrittsupdate liefern. |
High | 30 Min | ||
Medium | 1.5h | ||
Low | 6h |
Service Anfragen
Kundenfragen oder Anfragen zu Änderungen des Serviceumfangs, die sich nicht auf einen bestimmten Alarme beziehen
Severity | SLA | Erste Antwort Bestätigung |
Progress Update |
Alle Service Anfragen | 3 Business Tage | automatische Bestätigung, dass die Kundennachricht eingegangen ist und das SOC-Team an der Anfrage arbeitet | Ein Mitglied des SOC-Teams wird im Rahmen der SLA-Zeit ein Fortschrittsupdate liefern. |
Wie sieht so ein Alarm Mail des SoCaaS Dienstes aus?
Hier ein Beispielmail einer Alarmierung:
Über den angefügten Link im Email, kann im Portal dann die Detailbeschreibung und entsprechende Massnahmen Vorschläge eingesehen werden.
add 30.11.2023 - 4Tinu
Was sind die mindestanforderungen einer FortiGate um den SoCaaS Dienst nutzen zu können?
Damit der SoCaaS Service von einer FortiGate aus genutzt werden kann muss diese mindestenst mit dem FortiOS 7.0.0 im Betrieb sein.
Auf der FortiGate muss folgendes in der Konfiguration beachtet werden:
Lizenzierung:
- Überprüfe den Status aller FortiGuard Security Services auf allen zu überwachenden FortiGate-Geräten.
- Die Mindestanforderung ist das ATP-Paket (IPS, Advanced Malware Protection).
- Es wird dringend empfohlen, das UTP-Bundle (ATP + Web Security, Antispam) zu verwenden.
- Für OT-Kunden muss die OT Protocols Security Services (Industrial DB) hinzufügt werden.
Konfiguration:
- In den Firewallregeln die UTM Funktionen aktivieren
- Darauf achten, dass in den Firewallregeln sämtliche Logs weitergeleitet werden.
edit 17.04.2024 - 4Tinu
Onboarding
Wie funktioniert das SOCaaS Onboarding?
Der SOCaaS-Onboarding-Prozess umfasst die folgenden Schritte:
- Schritt 1: Registriere deine Geräte mit der SOCaaS-Lizenz
- Schritt 2: Vervollständige die Onboarding-Anfrage über das FortiCloud SOCaaS-Portal
- Schritt 3: Einrichtung von SOCaaS auf deinem FortiAnalyzer
Voraussetzungen
Bevor du mit dem Onboarding-Prozess beginnst, stelle sicher, dass du die erforderlichen Konfigurationen auf deinen FortiGates und FortiAnalyzers abgeschlossen hast, um dein SOCaaS-Abonnement zu optimieren.
Schritt 1: Registriere deine Geräte mit der SOCaaS-Lizenz
Um deine Geräte mit der SOCaaS-Lizenz zu registrieren:
- Melde dich bei deinem FortiCloud-Konto an.
- Registriere deine FortiGate unter
Register Product
mit der SOCaaS-Lizenz. - Klicke auf den Link, um zum SOCaaS-Portal zu gelangen. Siehe Schritt 2
Schritt 2: Vervollständige die Onboarding-Anfrage über das FortiCloud SOCaaS-Portal
Der Schritt 2 ist entscheidend und muss abgeschlossen werden, um Verzögerungen beim Onboarding zu vermeiden. |
Um die Onboarding-Anfrage abzuschliessen:
- Melde dich bei deinem FortiCloud-Konto an.
- Gehe zu
Services
→Cloud Services
→SOCaaS
. Die SOCaaS-Willkommensseite wird geöffnet. - Klicke auf die Schaltfläche
Start Onboarding
, um den SOCaaS-Onboarding-Assistenten zu starten. Die vollständigen Schritte zum Onboarding mit dem SOCaaS-Onboarding-Assistenten findest du im SOCaaS-Benutzerhandbuch. - Warte vor dem nächsten Schritt auf eine E-Mail vom SOCaaS-Onboarding-Team, in welcher die nächsten Schritte und Anweisungen enthalten sind.
Schritt 3: Einrichtung von SOCaaS auf deinem FortiAnalyzer
Wenn du die FortiAnalyzer Cloud verwendest, sind die folgenden Schritte nicht erforderlich. |
Um deinen FortiAnalyzer einzurichten:
- Konfiguriere deine FortiAnalyzer-Geräte so, dass sie Logs an SOCaaS weiterleiten, indem du den Anweisungen in der E-Mail vom SOCaaS-Onboarding-Team folgst. Die vollständigen Schritte findest du unter "Konfigurieren eines lokalen FortiAnalyzers".
- Antworte auf die E-Mail von Fortinet-SOC@fortinet.com, um zu bestätigen, dass die Log-Weiterleitungskonfiguration abgeschlossen ist.
- Warte auf eine Bestätigungs-E-Mail vom SOCaaS-Onboarding-Team. Diese Nachricht informiert dich, wenn das Onboarding abgeschlossen ist. Dies kann bis zu drei Werktage (Pacific Standard Time) dauern.
Diese Informationen sind alle auch im Onboarding Guide dokumentiert:
add 05.07.2024 - 4Tinu