FortiAnalyzer Nedir?
FortiAnalyzer, Fortinet Security Fabric ekosisteminin merkezi log yönetimi, analiz ve SIEM platformudur. FortiGate, FortiMail, FortiWeb, FortiClient, FortiSandbox ve diğer Fortinet ürünlerinden gelen logları toplar; korelasyon, olay tespiti ve kapsamlı raporlama sunar.
Fiziksel donanım (appliance), sanal makine (VMware, Hyper-V, KVM) veya bulut (AWS, Azure) olarak dağıtılabilir.
Mimari ve Log Akışı
- Log Toplama: FortiGate'ler UDP/TCP Syslog veya FortiAnalyzer'a özgü şifreli protokol (OFTP) ile log gönderir. FortiAnalyzer, gelen logları normalleştirir ve indeksler.
- Veri Depolama: Loglar sıkıştırılmış ve şifreli olarak diskte saklanır. Depolama kapasitesi model ve ek disk genişletmesiyle ölçeklendirilir.
- Arama Motoru: Milyarlarca log satırında saniyeler içinde SQL benzeri sorgulama yapılabilir. Tarih aralığı, kaynak IP, kullanıcı, politika ID gibi filtreler desteklenir.
- ADOMs (Administrative Domains): Çok müşterili veya çok bölümlü ortamlarda her ADOM bağımsız log alanı ve yönetici erişimi sağlar. MSSP'ler için kritik bir özelliktir.
Korelasyon Kuralları ve Olay Tespiti
FortiAnalyzer'ın korelasyon motoru, birden fazla kaynaktan gelen olayları ilişkilendirerek tehdit örüntülerini tespit eder:
- Hazır Korelasyon Kuralları: Brute force giriş denemesi, port tarama, lateral movement, C2 iletişimi gibi saldırı senaryoları için önceden tanımlı kurallar.
- Özel Kural Oluşturma: SQL benzeri koşul ifadeleriyle kuruma özgü korelasyon kuralları yazılabilir.
- Olay Yönetimi: Tetiklenen alarmlar Incident Management modülüne düşer; atama, önceliklendirme ve kapatma adımları takip edilir.
- Tehdit Puanı: Her cihaz ve kullanıcıya risk skoru atanır; yüksek riskli varlıklar öncelikli inceleme için öne çıkarılır.
NOC ve SOC Dashboard'ları
- NOC (Network Operations Center): Ağ trafik özetleri, bant genişliği kullanımı, en aktif kullanıcılar ve uygulamalar, WAN bağlantı kalitesi.
- SOC (Security Operations Center): Aktif tehditler, IPS olay özeti, engellenen URL kategorileri, VPN oturumları, kimlik doğrulama hataları.
- Executive Dashboard: Üst yönetim için yüksek seviyeli güvenlik durumu — başarılı/başarısız politika uygulamaları, en büyük tehditler, SLA metrikleri.
Raporlama
FortiAnalyzer, 100'den fazla hazır rapor şablonu içerir:
- PCI DSS, ISO 27001, HIPAA uyumluluk raporları
- Kullanıcı aktivite raporları (hangi kullanıcı hangi siteye girdi)
- Uygulama kullanım raporları
- Tehdit analiz raporları — haftalık veya aylık otomatik gönderim
- Özelleştirilebilir drag-and-drop rapor tasarımcısı
FortiAnalyzer HA (Yüksek Erişilebilirlik)
Kurumsal ortamlarda FortiAnalyzer kesintisiz çalışmalıdır:
- Aktif-Pasif HA: İki FortiAnalyzer birbirine bağlanır; aktif cihaz log alırken pasif anlık olarak senkronize olur. Aktif cihaz arızalanırsa pasif otomatik devreye girer.
- Küme Modu: Birden fazla FortiAnalyzer, yük dengeleme ve ölçeklendirme için küme oluşturabilir.
FortiSOAR Entegrasyonu
FortiAnalyzer alarmları FortiSOAR'a otomatik aktarılabilir. FortiSOAR, playbook tabanlı otomatik yanıt sağlar:
- Zararlı IP tespitinde FortiGate'e otomatik engelleme kuralı gönderme
- Etkilenen kullanıcı hesabını Active Directory'den devre dışı bırakma
- ServiceNow veya Jira'ya otomatik ticket açma
- Tehdit istihbarat platformlarıyla (VirusTotal, MISP) otomatik zenginleştirme
Boyutlandırma
FortiAnalyzer model seçiminde belirleyici faktörler: günlük log hacmi (GB/gün), saklama süresi (ay/yıl), yönetilen cihaz sayısı ve sorgu performans beklentisi. FAZ-150G küçük ölçek için yeterliyken FAZ-3000G ve üzeri büyük kurumsal ortamlar için tercih edilir.
Sonuç
FortiAnalyzer, Fortinet altyapısı olan her kurumsal ortamın güvenlik görünürlüğünü köklü biçimde artıran kritik bir platformdur. Lider Network, FortiAnalyzer boyutlandırma, kurulum, ADOM yapılandırması ve korelasyon kural tasarımı konularında hizmetinizdedir.