fortisiem - RunkIntel

# FortiSIEM > SIEM · Vendor: [[_fortinet|Fortinet]] > [!latam] Presença no Brasil e LATAM > O FortiSIEM tem presença sólida no Brasil em organizações com grandes implantações de **FortiGate** e **FortiOS** - particularmente no setor financeiro, governo estadual e industrial. A combinação FortiSIEM + FortiSOAR é comercializada localmente pela **Fortinet Brasil** e parceiros MSSPs como solução integrada de SOC. O monitoramento de conformidade com **LGPD** e **BACEN** via relatórios automáticos é um diferencial relevante para organizações brasileiras sob regulação do Banco Central. ## Visão Geral **FortiSIEM** (anteriormente AccelOps, adquirido pela Fortinet em 2016) é a plataforma SIEM integrada ao ecossistema Fortinet Security Fabric. A solução é posicionada como o "painel único de vidro" para organizações com grandes implantações Fortinet, centralizando visibilidade de logs, alertas e compliance em uma interface unificada. **Dados do produto:** - Categoria: SIEM (Security Information and Event Management) - Vendor: [[_fortinet|Fortinet]] - Versão atual: - - Presença no Brasil/LATAM: Presente em organizações com grandes bases Fortinet, especialmente setor financeiro e governo **Capacidades principais:** - Descoberta automática de dispositivos de rede com preenchimento de CMDB - Ingestão nativa de logs [[fortigaté|FortiGaté]] e [[fortios|FortiOS]] sem necessidade de parsers customizados - UEBA (User and Entity Behavior Analytics) para detecção de anomalias de comportamento - Relatórios de compliance automáticos (PCI-DSS, HIPAA, SOX - relevante para organizações brasileiras sob LGPD) - Integração com [[fortisoar|FortiSOAR]] para orquestração e resposta automatizada ## AQL - Analytics Query Language O FortiSIEM utiliza o **AQL (Analytics Query Language)**, uma linguagem similar ao SQL projetada para consultas sobre eventos de segurança em tempo real e históricos. **Estrutura básica:** ```sql -- Exemplo: Detectar múltiplas tentativas de autenticação falha SELECT hostIpAddr, user, COUNT(*) FROM events WHERE eventType = 'Security-Authentication' AND status = 'FAILED' GROUP BY hostIpAddr, user HAVING COUNT(*) > 10 ORDER BY COUNT(*) DESC ``` **Conceitos-chave do AQL:** - `eventType` - categoria do evento (Security-Authentication, Network-Connection, System-Configuration-Change, etc.) - `hostIpAddr` / `hostName` - identificadores de ativos correlacionados ao CMDB - `user` - atributo de identidade para correlação com UEBA - `COUNT(*)` / `SUM()` - funções de agregação para detecção de volume anômalo **Exemplos de queries CTI:** ```sql -- Detectar acesso administrativo a FortiManager de IPs externos SELECT srcIpAddr, user, COUNT(*) as attempts FROM events WHERE eventType = 'Security-Authentication' AND destIpAddr IN (SELECT ipAddr FROM assets WHERE assetType = 'FortiManager') AND srcIpAddr NOT IN (SELECT ipAddr FROM assets WHERE assetType = 'InternalNetwork') GROUP BY srcIpAddr, user ORDER BY attempts DESC -- Detectar crash do processo fgfmd (indicador de exploração CVE-2024-23113) SELECT hostName, eventMsg, eventTime FROM events WHERE eventType = 'System-Process-Crash' AND eventMsg CONTAINS 'fgfmd' ORDER BY eventTime DESC ``` ## Integração com FortiGaté O FortiSIEM possui suporte nativo para parsing de logs do [[fortigaté|FortiGaté]] e do [[fortios|FortiOS]] via syslog, com regras de correlação pré-construídas para os principais eventos de segurança Fortinet. Esta integração é especialmente relevante para detecção de exploração das vulnerabilidades críticas Fortinet: **Detecção de exploração de [[cve-2024-23113|CVE-2024-23113]]** (FortiOS - format string no daemon fgfmd, CVSS 9.8): - Indicador primário: eventos de crash do processo `fgfmd` nos logs do FortiOS - Indicador secundário: conexões de entrada na porta 541 (FGFM) de IPs não gerenciados - Regra de correlação: `eventType = 'System-Process-Crash' AND eventMsg CONTAINS 'fgfmd'` **Detecção de exploração de [[cve-2024-47575|CVE-2024-47575]]** (FortiManager - autenticação ausente, CVSS 9.8): - Indicador primário: registro de dispositivo não autorizado no [[fortimanager|FortiManager]] - Indicador secundário: criação de arquivos `.db` e `.tmp` no `/tmp` do FortiManager - Log relevante: `FGFM-unauthorized-device-registration` **Visibilidade de VPN:** - Detecção de autenticação VPN de IPs em listas de bloqueio - Anomalias de horário em autenticações SSL-VPN (padrão de atores com fuso horário diferente) - Correlação com UEBA para usuários com comportamento fora do padrão ## Integração com Ameaças O FortiSIEM permite criar regras de detecção baseadas em TTPs documentadas de grupos que exploram infraestrutura Fortinet: **[[g1017-volt-typhoon|Volt Typhoon]]** - grupo APT chinês com foco em infraestrutura crítica: - TTPs principais: living-off-the-land em dispositivos de rede, uso de ferramentas nativas (LOLBins) - Detecção via FortiSIEM: padrões de CLI incomuns nos logs de administração do FortiOS, comandos de diagnóstico executados de forma programática - Referência: [[t1082-system-information-discovery|T1082 - System Information Discovery]], [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **[[g0016-apt29|APT29 - Cozy Bear]]** - grupo APT russo com foco em espionagem: - TTPs relevantes: exfiltração de dados sobre HTTPS (T1567.002), uso de C2 sobre canais legítimos - Detecção via FortiSIEM: volume anômalo de tráfego HTTPS de saída, conexões a domínios recém-registrados **[[lockbit|LockBit Operators]]** - grupo de ransomware com alta atividade no Brasil: - TTPs relevantes: network share discovery ([[t1135-network-share-discovery|T1135 - Network Share Discovery]]), indicator removal ([[t1070-indicator-removal|T1070 - Indicator Removal]]) - Detecção via FortiSIEM: varredura de rede SMB interna, limpeza de logs de sistema, elevação de privilégios **[[Cl0p - TA505]]** - grupo especializado em exploração de zero-days em appliances: - TTPs relevantes: T1070 (remoção de indicadores), exploração de software de transferência de arquivos - Correlação com CVEs de servidores de transferência como os explorados na campanha MOVEit ## Compliance e LGPD O FortiSIEM possui pacotes de relatórios de compliance pré-construídos, sendo especialmente relevante para organizações brasileiras sujeitas a regulamentações de dados: **Regulamentações suportadas:** - **LGPD** (Lei Geral de Proteção de Dados - Lei nº 13.709/2018): coleta automática de evidências para demonstração de conformidade, logging de acesso a dados pessoais - **PCI-DSS**: monitoramento de acesso a dados de cartão, relatórios de auditoria automáticos - crítico para o setor [[financial]] brasileiro - **HIPAA**: controle de acesso a dados de saúde - relevante para organizações do setor [[healthcare|saúde]] - **SOX**: trilha de auditoria para mudanças em sistemas financeiros **Setores com maior relevância no Brasil:** - [[financial]] - bancos, seguradoras e fintechs com requisitos PCI-DSS e BACEN - [[government]] - órgãos federais e estaduais com requisitos de auditoria LGPD - [[healthcare|saúde]] - hospitais e operadoras de planos de saúde O FortiSIEM automatiza a coleta de evidências para auditorias, reduzindo significativamente o esforço manual de compliance em organizações com grandes ambientes Fortinet. ## Notas Relacionadas **Produtos Fortinet:** [[fortigaté|FortiGaté]] · [[fortimanager|FortiManager]] · [[fortios|FortiOS]] · [[fortisoar|FortiSOAR]] · [[fortiweb|FortiWeb]] **CVEs relevantes:** [[cve-2024-47575|CVE-2024-47575]] · [[cve-2024-23113|CVE-2024-23113]] **Atores monitorados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g0016-apt29|APT29 - Cozy Bear]] · [[lockbit|LockBit Operators]] · [[Cl0p - TA505]] **Técnicas:** [[t1082-system-information-discovery|T1082 - System Information Discovery]] · [[t1110-brute-force|T1110 - Brute Force]] · [[t1135-network-share-discovery|T1135 - Network Share Discovery]] · [[t1070-indicator-removal|T1070 - Indicator Removal]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[critical-infrastructure|infraestrutura crítica]]