讲座问答环节，Fortinet D-Team资深网络安全工程师邹国雄就“FortiSIEM 和态势感知对比”、“FortiSIEM 集成能力”、“FortiSIEM 授权模式”、“FortiSIEM 部署模式”等相关问题进行了详尽解答，以下是问答精选实录：

问题一

FortiSIEM 和某些态势感知相比，有什么区别和优势?

目前有很多态势感知平台也很不错，界面做得非常好，各种功能也齐全。FortiSIEM 与之相比，我认为最大的区别和优势是在SIEM平台的通用性上做得非常好。这主要体现在功能和设备的添加扩充上非常方便;与第三方厂商的兼容能力非常强。

Fortinet 是一个全球化的网络安全公司，与业界很多知名厂商的设备都能实现深度集成，无论是Fortinet自有防火墙，还是其他厂商的防火墙，绝大部分都能够直接将日志接入，无需解析，内置的告警规则、报表都已经基本上全面覆盖，可以做到真正的“开箱即用”。

而且接入新的设备还可以定制一些解析内容，实现内部的归一化，让所有的解析最终都映射到内部的告警规则字段上，这意味着制定一条告警规则，可以适用于所有接入的安全设备，而不仅仅只是针对某一台安全设备。

问题二

出现威胁时，恶意文件的二次分析上传的是源文件还是特征码?

首先，文件的二次分析不是 SIEM 去做的事情，SIEM 不会上传文件，因为 SIEM 主要是做日志平台，它只会在日志里去提取信息，但是它也需要收集设备的一些性能信息，比如CPU、内存这些，当然这不是什么敏感信息。

文件的二次分析是 FortiSOAR 的任务，但这个分析是 SOAR 平台跟 Windows 服务器之间的交互，不经过 SIEM 。FortiSOAR 平台跟Windows 服务器的交互，整个是限定在内网之间的。

问题三

FortiSIEM 可以集成哪些第三方厂商的哪些设备?

Fortinet已经与超过500+厂商设备进行了集成，可以说大家能够想到的国际上知名厂商设备基本上都可以支持。不管是网络设备、安全设备，还是服务器相关的一些设备，都可以对接。具体可以参考：

https://docs.fortinet.com/document/fortisiem/7.0.2/external-systems-configuration-guide/780675/fortisiem-external-systems-configuration-guide-online

问题四

FortiAnalyzer 能做哪些安全工作?

FortiAnalyzer也是一个日志分析平台，但实际上它核心的功能是报表，日志分析报表能力是它的重心，当然它也可以具备SOC 功能，它的 SOC 功能就是一个简化版的FortiSIEM，可以做日志解析、告警，还可以联动防火墙去执行 IP 的阻断等。它的优点是简单高效、低成本。如果企业运营需求较简单，内部有用Fortinet的设备，比如防火墙FortiGate等，希望能对这些设备日志进行统一接入，并进行联动联防，使用FortiAnalyzer是非常不错的选择。

如果是与第三方厂商的设备联动，尤其是一些三方设备日志接入等内容，FortiSIEM 是最佳之选;如果想做通用安全运营平台，又需要多种设备的接入、联动的话，选择FortiSIEM 和 FortiSOAR 组合最为合适。

问题五

FortiSIEM 功能需要额外授权吗?

FortiSIEM 基本的功能都包含在基础费用中，有一些特殊的功能，比如说像 UEBA ，这种是需要额外的授权。当然，不仅仅是Fortinet采用这种授权模式，基本上行业内都是采用类似模式。

问题六

FortiSIEM部署方案必须基于 Fortinet 的硬件设备吗?

不必要。FortiSIEM设备接入可以支持三方设备，它是一个通用的 SIEM 平台。就SOC运营方案而言，不仅FortiSIEM，包括FortiSOAR等产品，都不是说必须基于Fortinet的硬件设备。其他厂商的设备只要通用性、兼容性够好，都是可以的。但考虑到方案通用性、灵活性、后期运营成本等，建议SIEM平台具备对接入设备日志理解能力、多维度的关联分析能力、三方设备的深度集成与广泛兼容、开箱即用的一些能力等。

资料来源于网络，详情请点击：

EDR（https://www.fortinet.com/cn/products/endpoint-security/fortiedr）

勒索病毒（https://www.fortinet.com/cn/resources/cyberglossary/how-to-prevent-ransomware）