The Power to Control

Octubre 2021 – FortiSIEM 6.3.1

ÍNDICE

INTRODUCCIÓN 3
POSIBILIDADES DE DESPLIEGUE 4
Despliegue sencillo – All in-one Supervisor 7
Despliegue tipo Enterprise – Clúster de Super y Worker con colectores en
sedes remotas 7
Despliegue tipo Disaster Recovery 8
Funcionalidades Principales 9
Virtual Appliance 12
Cumplimiento Normativo 12
CMDB y Gestión de Cambios 12
Búsquedas en Tiempo Real 13
Herramienta de ticketing (Casos) 13
Respuesta ante Incidentes: Remediaciones 13
Integración con fuentes de inteligencia 14
FortiSIEM User Entity and Behavior Analytics (UEBA) 14
Copia de Seguridad y Restauración para HW 15
MITRE ATT&CK Framework 15
Compatibilidad con consultas previas al cálculo (Pre-compute) 16
Almacenamiento 16
Otras funcionalidades 16
Licenciamiento 17

The Power to Control Página 2 de 18

INTRODUCCIÓN
Este documento tiene como objetivo mostrar las funcionalidades de FortiSIEM, la
solución de SIEM de Fortinet en su última versión disponible 6.3.1.

Un sistema de gestión de información y eventos de seguridad (en inglés, Security

Information and Event Management, SIEM) es un sistema que centraliza el
almacenamiento y la interpretación de los datos relevantes de seguridad. De esta forma,
permite un análisis de la situación en múltiples ubicaciones desde un punto de vista
unificado que facilita la detección de tendencias y patrones no habituales. Un sistema
SIEM combina funciones de un sistema de gestión de información de seguridad (Security
Information Management, SIM), encargado del almacenamiento a largo plazo, el análisis
y la comunicación de los datos de seguridad, y un sistema de gestión de eventos de
seguridad (Security Event Management, SEM), encargado de la monitorización en
tiempo real, correlación de eventos, notificaciones y cuadros de mando de la información
de seguridad más significativa de cualquier corporación.

Para aumentar la visibilidad sobre el rendimiento de los sistemas y servicios y los

eventos de seguridad que en ellos se produzcan, así como para incrementar la rapidez de
respuesta (incluso, automatizar dicha respuesta) ante dichos eventos, FortiSIEM
permite:

• Disponer en tiempo real de análisis de información, mediante un procesamiento

avanzados de logs y la correlación de eventos en tiempo real, que permitan apoyar tanto
la operación de sistemas y servicios como la gestión de las obligaciones legales de
custodia de evidencias y comunicación de incidentes en los plazos establecidos.

• Realizar un descubrimiento de dispositivos y mantener una base de datos de

configuraciones (CMDB), mediante técnicas de auto-descubrimiento y aprendizaje de
activos y mapeos inter-relacionales, en entornos tanto físico como virtuales y de cloud,
de aplicaciones, usuarios, y dispositivos. En este sentido, FortiSIEM dispone de CMDB
nativa dentro de la propia herramienta.

• Arquitectura escalable, con capacidad de operación tanto en entornos de

datacenter como cloud, con almacenaje de eventos NoSQL, y correlación distribuida de
eventos en tiempo real (patentada). Así pues, se podrá desplegar tantos nodos para
procesar la información como nodos recolectores que se quiera sin que esto suponga un
coste extra en el licenciamiento.

• Capacidad de monitorización de rendimiento y disponibilidad por SNMP y WMI,

así como almacenamiento de configuraciones en un sistema SVN nativo de la propia
solución por cada equipo pudiendo realizar comparación de versiones.

• Integraciones rápidas de tecnologías, con múltiples integraciones y casos de uso

preconfigurados para dispositivos físicos y virtuales.

• Posibilidad de incorporar indicadores de compromiso para incrementar el nivel

de seguridad en la correlación de eventos. En este sentido, permitirá integración nativa
con Firewalls Fortigate y los escáneres de vulnerabilidades de sistema del cliente siendo

The Power to Control Página 3 de 18

capaz de alertar si un ataque podría afectar a una vulnerabilidad CVE detectada
previamente.

• Mapear las técnicas, tácticas y procedimientos (TTPs) de MITRE ATT&CK,

convirtiendo a FortiSIEM en una poderosa herramienta para ayudar con la detección y
clasificación de ataques.

• Correlación de eventos SOC/NOC, para disponer en un único punto de gestión de

datos no sólo de eventos de seguridad, sino también de:
◦ Rendimiento y disponibilidad
◦ CPU, memoria y almacenamiento.
◦ Detección de cambios de configuración.
◦ Monitorización de transacciones sintéticas.
◦ Cuadros de mando dinámicos

Así pues, la solución FortiSIEM se puede desplegar tanto en modo Enterprise como
Multi-Tenant y está diseñada desde cero para lidiar con las complejidades de
monitorización del negocio de los proveedores de servicios de seguridad gestionados
(MSSP), así como de las grandes empresas.

FortiSIEM ofrece una solución innovadora para los clientes que buscan una solución
avanzada de monitorización de seguridad y rendimiento de las aplicaciones a un coste
muy competitivo mediante paquetes de licencias y servicios adaptables a las
necesidades de cada entorno.

POSIBILIDADES DE DESPLIEGUE
FortiSIEM está disponible tanto en formato appliance hardware como virtual appliance.
En el caso de virtual appliance, se puede crecer rápidamente añadiendo recursos
adicionales de CPU, memoria y almacenamiento sin necesidad de tener que llevar a cabo
arduos procesos de migración de bases de datos como ocurre en otras soluciones SIEM
del mercado.

Como appliance hardware, FortiSIEM tiene tres opciones principales:

● Collector – FSM-500F
● Mid-Range All-in-one Appliance
– FSM-2000F
● High-End All-in-one Appliance –
FSM-3500G

The Power to Control Página 4 de 18

FortiSIEM está diseñado de facto para entornos multi-tenant dónde se pueden integrar
dispositivos y eventos de múltiples organizaciones, almacenarlos y analizarlos de forma
diferenciada por cada una de ellas o en global. FortiSIEM soporta multi-tenant desde la
release 1.1 y el código fuente es uniforme tanto para despliegues tipo Enterprise como
Service Provider, lo que significa que todas las funcionalidades están disponibles para
ambos tipos de despliegue.

Así pues, un clúster de FortiSIEM tiene dos tipos de máquinas virtuales: Supervisors y
Workers. Los Workers manejan el procesamiento de eventos de ruta rápida, mientras
que los Supervisors se encargan del de ruta lenta. Para entenderlo mejor, estas son las
funcionalidades principales que FortiSIEM proporciona al usuario final:

● Descubrimiento de la infraestructura IT.

● Interacción con el usuario para analizar los eventos (GUI).
● Recolección, normalización, categorización y almacenamiento de eventos, así
como métricas de rendimiento.
● Creación de relaciones entre la identidad y localización de los usuarios.
● Generación y envío de alertas en tiempo real ante patrones anómalos.
● Búsquedas.

El proceso de descubrimiento de activos puede realizarse directamente desde el

Supervisor cuando no hay Collectors desplegados. Esto se produce típicamente en
entornos pequeños dónde se ha desplegado una arquitectura All-in-one que consiste en
un solo nodo Supervisor de FortiSIEM. En entornos de mayor tamaño lo más común sin
embargo es tener un clúster con uno o más Workers y uno o más Collectors que serían
desde dónde se ejecutaría el descubrimiento. Así mismo, si se despliegan agentes
Windows o Linux, en este caso es obligatorio que el descubrimiento sea realizado
vía Collector/s.

The Power to Control Página 5 de 18

Por otro lado, el Supervisor es quién se encarga de gestionar la interfaz de usuario,
mientras que el resto de tareas que se han descrito más arriba son realizadas de forma
paralela y en conjunción entre el Worker y Super VMs.

Seguidamente, en muchas ocasiones, hay dispositivos que necesitan ser monitorizados,

pero se encuentran detrás de un firewall en una localización remota únicamente
alcanzable vía WAN. Los protocolos UDP como syslog, SNMP, etc. suelen tener problemas
de funcionamiento cuando tienen que ir vía WAN además de que no es una buena
práctica enviar eventos de seguridad sobre redes no cifradas. Por todas estas razones,
existe un tercer nodo en la arquitectura de FortiSIEM, denominado Collector, que actúa
como un proxy para los Workers. Los Collector VMs descubren la infaestructura,
recolectan los datos y los envían hacia el Worker/Super vía HTTPS.

Específicamente, cada una de las VMs realiza las siguientes funciones:

El Collector VMs se encarga principalmente de:

1. Descubrir la infraestructura (detrás del firewall) bajo demanda o de forma

planificada.
2. Recolectar y parsear los eventos, comprimirlos, cifrarlos y enviarlos hacia el
Worker/Super vía HTTPS.
3. Flujos de sesiones (para Netflow).
4. Demultiplexación de eventos procedentes de varias organizaciones cuando se
despliega en entorno multi-tenant:
o Recibe y procesa logs procedentes de Agentes Windows/Linux
correspondientes a diferentes organizaciones.
o Desplegado en una única o multiples instancias (pool) los colectores reciben
los logs de múltiples organizaciones y balancean la carga entre los miembros
del pool.

El Worker VMs se encarga de:

1. Parsear el flujo de eventos procedentes de los colectores.

2. Recolectar y parsear por sí mismo flujos de eventos recibidos.
3. Indexación, verificación de integridad (checksum) y almacenamiento de eventos
en el repositorio principal.
4. Creación de los datos de identidad y de localización (parcial).
5. Gestionar las búsquedas lanzadas desde el Supervisor y enviar los resultados
parciales de vuelta al Super.
6. Creación parcial de resultados de evaluación de patrones y envío de los mismos
hacia el Supervisor.

El Supervisor VM por su parte es el responsable de:

1. La interfaz gráfica de usuario (GUI).

2. Descubrir la infraestructura TI.
3. Repartir el procesamiento de eventos y tareas de monitorización de rendimiento
a los Workers.
4. Gestionar el flujo de eventos parseados procedentes de los colectores.
5. Recolectar y parsear eventos por sí mismo.

The Power to Control Página 6 de 18

 6. Indexación, verificación de integridad (checksum) y almacenamiento de eventos
en el repositorio principal.
7. Unificar y procesar la información de identidad y localización recibida desde los
Workers.
8. Repartir las peticiones de búsqueda a los Workers y posteriormente unificar y
procesar los resultados parciales recibidos para su visualización posterior.

Despliegue sencillo – All in-one Supervisor

Despliegue tipo Enterprise – Clúster de Super y Worker con colectores en

sedes remotas

The Power to Control Página 7 de 18

Despliegue tipo Disaster Recovery

Esta versión agrega de nuevo la característica de recuperación ante desastres que estaba
presente en la versión 5.4 de FortiSIEM.

Para configurar DR, es necesario configurar dos instancias de FortiSIEM iguales,

cada una con una licencia independiente idéntica en la que FortiSIEM replicará la
CMDB (en la base de datos PostgreSQL), los datos de configuración (en SVN-lite), la base
de datos de perfiles (en la base de datos SQLite) y FortiSIEM EventDB Primario y
Secundario. Para las implementaciones basadas en Elasticsearch, se proporcionan
procedimientos para la replicación unidireccional entre clústeres (CCR) fuera de banda.

Cuando el Primario falla, hay que cambiar manualmente el FortiSIEM Secundario a

Primario. Una vez restaurado el primario (inicial) de una copia de seguridad hay que
convertirlo en Secundario y cambiar de rol para volver a hacerlo Primario en el caso que
se desee.

El nodo Secundario está en modo hot Standby. Se puede iniciar sesión en la GUI
secundaria pero no se permite cualquier permiso que implique escribir en la base de
datos PostgreSQL

Disaster Recovery funciona para todas las implementaciones de software y dispositivos

de hardware basados en EventDB (2000F y 3500G) e implementaciones de Elasticsearch
mediante replicación unidireccional entre clústeres.

Los detalles de las operaciones de recuperación ante desastres en entornos basados en

EventDB y en Elasticsearch están disponibles en los siguientes enlaces:

The Power to Control Página 8 de 18

https://docs.fortinet.com/document/fortisiem/6.3.1/disaster-recovery-procedures-event
db-based-deployments

https://docs.fortinet.com/document/fortisiem/6.3.1/disaster-recovery-procedures-elastic
search

Además de estos componentes, luego están los agentes avanzados, que permiten realizar
una monitorización más granular sobre todo de servidores especialmente críticos tanto
Windows como Linux. A continuación se muestra el resumen de funcionalidades:

Funcionalidades Principales
FortiSIEM proporciona una solución de gestión de logs totalmente robusta y escalable
mediante:

● Soporte nativo de múltiples tipos de dispositivos.

● Monitorización de eventos.
● Consolidación de flujos de datos tanto de red como de logs.
● Análisis avanzado.
● Inteligencia de aplicaciones, virtualización y red.
● Inteligencia de localización e identidad.
● Monitorización avanzada de cambios de configuración.
● Base de datos propia para detectar actividades anómalas que afecten tanto a la
seguridad como la disponiblidad de los activos implicados.
● Correlación cruzada tanto sobre histórico como en tiempo real.
● Priorización de incidentes de seguridad con información enriquecida y correlada
así como datos en crudo.
● Cuadros de mando personalizados, mapas de topología y notificaciones.
● Búsquedas tanto en tiempo real como sobre logs almacenados con filtros
dinámicos.
● Control de acceso basado en roles, con posibilidad de integración con el servicio
de directorio del cliente
● Informes de cumplimiento.
● Repositorio optimizado de eventos.
● Integridad de los logs y eventos almacenados.
● Retención online ilimitada.
● User and Entity Behavioural Analytics (UEBA).

The Power to Control Página 9 de 18

FortiSIEM soporta una gran variedad de métodos de recolección de logs tanto sin agente
como con agente incluyendo:

● SNMP
● Syslog
● Windows Management
Instrumentation (WMI)
● Microsoft RPC
● Cisco SDEE
● Checkpoint LEA
● JDBC
● VMware VI-SDK
● JMX
● Telnet
● SSH
● NetFlow
● HTTPS
● IMAP
● IMAP over SSL
● POP3
● Kafka API

Por otro lado, FortiSIEM ofrece capacidades avanzadas de monitorización de

rendimiento y disponibilidad (PAM) en aras de facilitar la resolución de problemas
relacionados con estas dos vertientes, así como facilitar los planes de gestión de la
capacidad del negocio del cliente.

FortiSIEM descubre, agrega, analiza, registra y almacena indicadores clave de

rendimiento (KPIs) y tendencias relativas a, entre otros:

● Dispositivos de red como firewalls, routers, switches, security gateways, etc.

● Servidores como Windows y Linux.
● Entornos físicos y virtualizados.
● Actividades anómalas y análisis de comportamiento de red.
● Calidad de servicio.
● Utilización de recursos de red por aplicación, dispositivo o grupo.
● Estadísticas de disponibilidad de sistema via ping, uptime, etc.
● Métricas de rendimiento incluyendo CPU, memoria, disco, interfaces de red y
procesos.
● Utilización de interfaces de red, errores y número de conexiones de red en
dispositivos tales como firewalls, routers y switches.

The Power to Control Página 10 de 18

 ● Métricas de rendimiento a nivel de aplicación para servidores web y de
aplicaciones, bases de datos y otros como DNS, DHCP o Exchange.
● Respuesta de las aplicaciones vía monitorización de transacciones sintéticas,
tanto únicas como secuenciadas, para los protocolos más comúnmente
utilizados, esto es, HTTP, HTTPS, DNS, LDAP, SSH, SMTP, IMAP, POP, FTP, JDBX,
ICMP y para puertos genéricos TCP/UDP. Esto complementa la monitorización
para Microsoft DNS, DHCP, IIS, Exchange, MS Active Directory, MS SQL, Oracle y
otras bases de datos, VOIP, así como Apache, Tomcat, Glassfish y JBoss. El
resultado es un conjunto de métricas enriquecidas para obtener el rendimiento
real de las aplicaciones y de esta forma poder responder en tiempo y forma ante
eventuales contingencias que afecten a los servicios críticos para el negocio del
cliente.

Así mismo, FortiSIEM lleva a cabo correlaciones cruzadas entre las capas de máquinas
virtuales (VM) y hardware dentro del host invitado y los niveles de aplicación en aras de
optimizar los recursos, el diagnóstico de fallos y garantizar por ende la entrega del
servicio tanto on-premise como en cloud. FortiSIEM puede gestionar eventos de forma
nativa procedentes de:
● Amazon AWS CloudTrail
● Amazon AWS CloudWatch
● Amazon AWS EC2
● Amazon AWS Kinesis
● Amazon AWS RDS
● Amazon AWS Security Hub
● Box.com
● Google Apps Audit
● Microsoft Azure Audit
● Microsoft Office365 Audit
● Microsoft Cloud App Security
● Microsoft Azure ATP
● Microsoft Azure Compute
● Microsoft Azure Event Hub
● Microsoft Windows Defender ATP
● GitHub
● GitLab
● Okta
● Salesforce CRM Audit
● CloudPassage Halo
● Cisco AMP Cloud

Se puede consultar la lista completa de plataformas y dispositivos soportados en:

The Power to Control Página 11 de 18

https://docs.fortinet.com/document/fortisiem/6.3.1/external-systems-configuration-gu
ide/780675/fortisiem-external-systems-configuration-guide-online

Virtual Appliance
FortiSIEM puede implementarse como virtual appliance en VMware ESX 3.5 o superior,
AWS, Azure, Hyper-V y KVM. FortiSIEM se puede instalar y configurar en poco tiempo
incluyendo capacidades nativas de alta disponiblidad y multi-tenant, permitiendo
escalar rápidamente mediante la inclusión de componentes virtualizados adicionales
(como workers o colectores).
Para información completa sobre las plataformas soportadas en formato virtual
appliance consultar: https://docs.fortinet.com/product/fortisiem/6.3

Cumplimiento Normativo

FortiSIEM ofrece agregación completa de logs, correlación de eventos en

tiempo real y retención online de los mismos mediante reglas e informes
mapeados a los principales estándares de cumplimiento como PCI, SOX,
COBIT, GLBA, FISMA, NERC, GPG13, NIST 800-53, NIST 800-171, SANS
Critical Controls, HIPAA, CIS y NESA UAE.

Mediante una CMBD propietaria incorporada en la propia solución,

FortiSIEM automatiza los procesos de control y auditoría, permitiendo así
mismo implementar procedimientos para reducir el riesgo asociado.

CMDB y Gestión de Cambios

FortiSIEM incluye una CMDB completa que permite llevar a cabo

el descubrimiento de dispositivos y agruparlos por tipología, así
como mantener un inventario actualizado de los dispositivos de
red, software, parches, usuarios y objetos de directorio. Esta
CMDB es construida directamente desde el aprendizaje de la
infraestructura del cliente sin necesidad de instalar agentes
adicionales.

FortiSIEM descubre, registra, monitoriza e informa acerca de

todos los activos de red de la organización, tanto en físico como
virtual, permitiendo obtener:

● Un inventario completo de hardware y software.

● Entender qué software está instalado y ejecutándose.
● Analizar el uso de los sistemas por aplicación y procesos
asociados.
● Analizar activos por usuarios, grupos y servicios.
● Monitorizar el uso de aplicaciones de red y consumo de
recursos por usuario o grupo.
● Seguimiento de aplicaciones permitidas / denegadas en el
cliente.
● Identificar “shelfware” y oportunidades de reducción de
licencias.

The Power to Control Página 12 de 18

 ● Plan de capacidad y opciones de migración para consolidar proyectos.
● Preparación para auditorías.

Búsquedas en Tiempo Real

FortiSIEM ofrece una interfaz muy
intuitiva para llevar a cabo búsquedas en
tiempo real tanto con texto libre como
buscando valores específicos en
atributos parseados. Además, permite
buscar tanto sobre eventos parseados
como en formato raw.
De esta forma, se puede hacer “drill
down” en cada evento para obtener
información detallada, y en cualquier
momento haciendo doble clic en las barras individuales del gráfico se pueden analizar
los eventos en un intervalo de tiempo determinado en la vista sobre histórico.

Herramienta de ticketing (Casos)

FortiSIEM tiene su propia herramienta de ticketing interna que permite crear y asignar
casos de soporte. De esta forma, un ticket puede ser creado automáticamente cada vez
que se produce un incidente y asignado a un usuario/grupo específico para su
resolución. El sistema incluye un esquema de escalado que permite establecer una
jerarquía de grupos para la asignación y resolución de casos.

Respuesta ante Incidentes: Remediaciones

FortiSIEM incluye mecanismos automatizados para incrementar las capacidades no solo

de detección, sino también de respuesta ante un eventual ataque y/o brecha de
seguridad. De esta forma, puede integrarse con herramientas de ticketing externas,
herramientas de análisis de vulnerabilidades, dispositivos de seguridad, etc. en aras de
llevar a cabo una remediación automática que permita mitigar cualquier amenaza en
tiempo y forma.

En referencia a los sistemas de ticketing soportados, FortiSIEM se integra

bidireccionalmente, entre otros, con:
● ServiceNow.
● Remedy.
● Salesforce.
● ConnectWise.
● Jira.

Para integración con bases de datos de configuración externas (CMDB), entre otros:
● ConnectWise.
● ServiceNow.
● SalesForce.
● Archivo CSV.
● Rackspace.

The Power to Control Página 13 de 18

En cuanto a sistemas/herramientas de análisis de vulnerabilidades, destacar:
● AlertLogic.
● Nessus Vulnerability Scanner.
● Qualys Vulnerability Scanner.
● Rapid7 NeXpose Vulnerability Scanner.
● Rapid7 InsightVM.
● Tenable.io.

FortiSIEM propociona un completo framework de auto-remediación que ayuda a

contener y mitigar amenazas y/o brechas de seguridad. Vía políticas de notificación,
FortiSIEM aplica diversos métodos de remediación que van desde bloquear una simple
IP a nivel de Firewall como aislar un dispositivo, lanzar un análisis de vulnerabilidades,
etc.

Integración con fuentes de inteligencia

FortiSIEM permite integrar feeds y fuentes de inteligencia de terceros en aras de

incrementar las capacidades de detección y respuesta de la plataforma. Entre otros,
permite integrar fuentes de terceros vía STIX-TAXII, CSV, API, etc, y tiene disponibles
plugins predefinidos para integración con algunos vendors de referencia como OTX,
ThreatConnect, VirusTotal o FortiGuard (en este último caso, se trata de un servicio de
suscripción a Fortiguard que permite consultar IPs, URLs, dominios, hashes, etc. de
fuentes maliciosas).

FortiSIEM User Entity and Behavior Analytics (UEBA)

FortiSIEM 6.1 presentó nuestra potente solución UEBA de endpoint integrada. FortiSIEM
6.3 amplía esto aún más al incorporar el modelo de IA en nuestra arquitectura. El
modelo de IA ahora escala a medida que se agregan más nodos workers al clúster
FortiSIEM, para escalar el rendimiento de UEBA en grandes implementaciones.

The Power to Control Página 14 de 18

Recordar que a partir de la versión 6.1.0 FortiSIEM tiene embebido el motor de UEBA de
FortiInsight, y en concreto, lo que se hizo fue integrar el kernel del agente UEBA en el
agente de Windows ya existente para reportar, entre otros, estos eventos de usuario:
● Logon/logoff
● Machine on/off
● Actividad de archivos- creación, borrado, lectura, escritura, renombrado,
movimiento, impresión.
● Subida / descarga de archivos.
● Montaje /desmontaje de unidades de Sistema.

En base a estas actividades, un módulo de AI que está corriendo en el Supervisor, detecta

incidentes anómalos que son registrados en un cuadro de mando específico de UEBA
para su investigación.
Así pues, el motor de UEBA que se ejecuta en el Supervisor obtiene los datos de los
equipos finales vía agente UEBA, el cuál es muy poco intrusivo y garantiza que los datos
proporcionados son íntegros y no tiene casi impacto en el rendimiento del puesto del
usuario.

Como conclusión, el UEBA de FortiSIEM es una manera muy efectiva de

monitorizar la actividad final en el endpoint y poder desde detectar a “insiders” a
actividades sospechosas y/o anómalas en cualquier organización.

Copia de Seguridad y Restauración para HW

Las instalaciones de FortiSIEM basadas en VM tienen una función de instantánea que

permite a los clientes volver a la instantánea si falla una actualización. Por el contrario,
las instalaciones basadas en dispositivos de hardware carecen de esta capacidad, por lo
que, si una actualización falla, debe repararse en línea, lo que aumenta el tiempo de
inactividad. Esta versión agrega una función de copia de seguridad y restauración a las
instalaciones basadas en hardware.

Para obtener más información, consulte la Guía de actualización. en el siguiente link:

https://docs.fortinet.com/document/fortisiem/6.3.1/upgrade-guide/505373/upgrading-to
-fortisiem-6-3-1#Restoring_Hardware_from_Backup_After_a_Failed_Upgrade

The Power to Control Página 15 de 18

MITRE ATT&CK Framework

El marco MITRE ATT&CK ( https://attack.mitre.org/ ) es empleado por un número

creciente de organizaciones. FortiSIEM 6.2.0 implementa el marco ATT&CK hasta el nivel
de la técnica y proporciona una cobertura significativa con reglas listas para usar. 

Esto proporciona una poderosa herramienta para ayudar con la detección y clasificación
de ataques.

En FortiSIEM 6.3.1 puede:

● Beneficiarse de más de 950 reglas enfocadas en ATT&CK, y más de 1.400 reglas

en total.
● Asociar técnicas de ATT&CK a una regla de FortiSIEM.
● Ver su cobertura de ATT&CK en el Panel de cobertura de reglas.
● Ver incidentes activos desde la perspectiva del Marco de ATT&CK a través del
panel de incidentes.
● Use el panel de control de Incident Explorer de MITRE ATT&CK para obtener una
vista del host y los incidentes activos agrupados por táctica.

Con la implementación del marco ATT&CK simplificará y agilizará la detección, y

facilitará la comprensión del impacto de múltiples incidentes en los activos de la
organización.

Compatibilidad con consultas previas al cálculo (Pre-compute)

Esta es una nueva función para la versión 6.2 y posteriores y es interesante para
implementaciones grandes que ejecutan búsquedas predefinidas. Con la función de
cálculo previo de FortiSIEM, se puede ejecutar rápidamente búsquedas potentes,
predefinidas y agregadas durante largos períodos de tiempo mediante el cálculo previo
de los resultados a intervalos específicos. Cuando se ejecuta la búsqueda, los resultados
precalculados se utilizan para calcular el resultado final en mucho menos tiempo.

Almacenamiento

The Power to Control Página 16 de 18

FortiSIEM ofrece la posibilidad de implementar almacenamiento online vía disco local,
NFS o ELK, así como soporte de archivado de logs tanto para NFS como HDFS.
Dependiendo de la combinación elegida, se pueden crear políticas de retención de logs
tanto por espacio como por periodos de tiempo.

Otras funcionalidades

Estas son solo algunas de las nuevas funciones de la versión 6.2 y 6.3. Algunas otras
mejoras incluyen:

● Incident remediation workflow.

● Autenticación externa a través de SAML.
● Soporte para Elasticsearch 7.8 y Elastic Cloud.
● Nuevas reglas, informes y tablero enfocados en OT / IoT.
● Soporte para nuevos dispositivos, vista de estado del agente…

Todas las novedades están disponibles en:

https://docs.fortinet.com/document/fortisiem/6.2.1/release-notes/498610/whats-ne
w-in-6-2-1
https://docs.fortinet.com/document/fortisiem/6.3.1/release-notes/330225/whats-ne
w-in-6-3-1

Licenciamiento

FortiSIEM dispone de un método de licenciamiento escalable tanto por número de

dispositivos como por EPS asociados, pudiendo elegir al menos entre licencias perpetuas
y modo suscripción. Así mismo, se dispone de paquetes de licencia de agentes avanzados
para monitorización de servidores críticos Windows y Linux, tanto en modo perpetuo
como modo suscripción, y paquetes de licencia de agentes de UEBA para equipos
Windows, tanto en modo perpetuo como modo suscripción.

Por otro lado, se dispone de otras suscripciones como Indicadores de Compromiso (IoC).

En la siguiente tabla se resumen los principales tipos de licencias:

The Power to Control Página 17 de 18

The Power to Control Página 18 de 18