FortiEDR - Overview - Blog Diário de Suporte

FortiEDR Overview: A Proteção de Endpoint Avançada

0 Segurança,

Com o aumento constante nos números e nas sofisticações das ameaças avançadas e do ransomware, as organizações devem aumentar as suas medidas de segurança em todos os níveis, incluindo os seus endpoints. O FortiEDR (Detecção e Resposta a Ameaças em Endpoints) da Fortinet oferece proteção, detecção e resposta de endpoint de última geração que é leve e fácil de implantar. Com o FortiEDR, o time de segurança podem aumentar a segurança dos endpoints, acelerando assim a resposta a incidentes, simplificando as operações de segurança e evitando interrupções dispendiosas. Neste artigo, abordaremos o papel fundamental do FortiEDR na detecção de ameaças avançadas.

 

FortiEDR - Console - Blog Diário de Suporte

 

O que é o FortiEDR?

FortiEDR (Endpoint Detection and Response) é uma solução de segurança projetada para proteger os endpoints, como computadores e servidores. Ele oferece detecção avançada de ameaçasresposta automatizada e visibilidade completa do ambiente de rede.

Um ponto em que o FortiEDR se destaca das demais soluções de EDR é a possibilidade de instalar o agente de proteção de endpoint conhecido como coletor (Collector) em sistemas operacionais legados. Isso inclui sistemas operacionais como:

 

FortiEDR - SO - Blog Diário de Suporte

 

  • Windows: XP SP2, 7, 8, 8.1, 10, and 11 (32-bit and 64-bit versions)
  • Windows Server: 2003 SP2, R2 SP2, 2008 SP1, 2008 R2 SP2, 2012, 2012 R2, 2016, 2019, and
    2022
  • MacOS Versions: El Capitan (10.11), Sierra (10.12), High Sierra (10.13), Mojave (10.14),
    Catalina (10.15), Big Sur (11), and Monterey (12), and Ventura (13)
  • Linux Versions: RedHat Enterprise Linux and CentOS 6.8+, 7.2+, 8+, and 9+
    Ubuntu LTS 16.04.5+, 18.04/ 20.04/and 22.04 server, 64‑bit only
    Oracle Linux 6.10, 7.7+, and 8.2+
    Amazon Linux AMI 2 2018
    Open SUSE Leap 15.2
    SUSE Linux Enterprise Server SLES v12 SP5 and v15
    RedHat 9
  • VDI Environments: VMware Horizons 6 and 7 and Citrix XenDesktop 7
  • Google Cloud Marketplace enablement for all supported OSes

 

Fonte Oficial: https://docs.fortinet.com/document/fortiedr/6.2.0/collector-system-requirements/633631

 

 

Principais Características do FortiEDR

O FortiEDR oferece o mais avançado controle automatizado de políticas de superfície de ataque com avaliações e descobertas de vulnerabilidades que permitem às equipes de segurança:

 

FortiEDR - Características - Blog Diário de Suporte

 

  1. Agente Único: Não é necessário instalar um agente separado para desktops e servidores.
  2. Proteção Baseada em Comportamento e IA: O FortiEDR utiliza inteligência artificial (IA) e aprendizado de máquina no nível do kernel. Ele interrompe violações em tempo real, protegendo os dados contra exfiltração e criptografia de ransomware.
  3. Classificação Contínua pela IA Baseada em Cloud: A classificação contínua das ameaças é aprimorada pela IA baseada em nuvem.
  4. Suporte para Sistemas Operacionais Legados e Ambientes Híbridos: O FortiEDR pode ser implantado em sistemas operacionais mais antigos, como Windows XP, Windows 7 e Windows Server 2003, além de ambientes híbridos.
  5. Agente Leve: Requer menos de 1% de uso de CPU, em média 60-120 MB de memória RAM e apenas 20 MB de espaço em disco.
  6. Remediação Remota e Segura: Permite a correção de ameaças de forma remota, mantendo a segurança dos endpoints.
  7. Resistente contra Evasões: O FortiEDR é projetado para enfrentar táticas evasivas usadas por ameaças cibernéticas.
  8. Resultados Validados por Organizações de Terceiros: Os testes realizados pelo MITRE ATT&CK e pelo SE Labs Endpoint Security Enterprise 2022 Q4 comprovaram a eficácia do FortiEDR.
  9. Integração com os dispositivos Fortinet: O FortiEDR aproveita a arquitetura Fortinet Security Fabric e se integra a muitos componentes do Security Fabric, incluindo FortiGate, FortiNAC, FortiSandbox, FortiSIEM, FortiClient EMS e etc.
  10. Virtual Patching: Rastrear as aplicações e seus status de CVE. Pois aplica técnica de redução da superfície de ataque com políticas baseadas em risco

 

Quais são os Componentes do FortiEDR?

A plataforma FortiEDR é composta pelos seguintes componentes: FortiEDR Collector, FortiEDR Core, FortiEDR Aggregator, FortiEDR Central Manager, FortiEDR Cloud Service e Threat Hunting Repository.

 

FortiEDR - Components - Blog Diário de Suporte

 

  • Collector: O FortiEDR Collector é o agente instalado em desktops e servidores. A cada tentativa de comunicação para estabelecer uma conexão de rede, o Collector coleta todos os metadados necessários e os envia para o FortiEDR Core, assinado por uma assinatura digital FortiEDR. Ele coleta e correlaciona informações sobre processos, threads, conexões, acesso a arquivos, registros e muito mais.
  • Core: O FortiEDR Core é o responsável pela aplicação das políticas de segurança. Ele determina se uma solicitação de conexão é legítima ou representa uma tentativa maliciosa de exfiltração, bloqueando-a conforme necessário. O Core recebe metadados de eventos dos Coletores e os executa com base nas políticas e exceções definidas.
  • Aggregator: Todos os Coletores e o Core interagem com o Aggregator para fins de registro, configuração e monitoramento. O FortiEDR Aggregator coleta essas informações e as distribui para o FortiEDR Central Manager, garantindo que as configurações definidas no Central Manager sejam aplicadas aos Collectors e Cores.
  • Central Manager: O FortiEDR Central Manager é uma interface de usuário web central, exclusivamente de software, e um servidor back-end. Ele permite visualizar e analisar eventos, além de configurar todo o sistema.
  • Threat Hunting Repository: Este repositório, baseado em uma arquitetura de microsserviços (Kubernetes Cluster of Dockers), permite pesquisar vários tipos de indicadores de comprometimento (IOCs). Ele analisa atributos de arquivos, chaves e valores de registro, rede, processos, log de eventos e tipos de atividades para identificar ameaças.
  • Fortinet Cloud Services (FCS): O FCS é um serviço baseado em nuvem, compatível com GDPR, que classifica com precisão eventos de segurança e toma medidas adequadas com base nessa classificação.

 

Como o FortiEDR Funciona (Workflow)?

Uma das principais vantagens do FortiEDR é sua capacidade de resposta automatizada. Quando uma ameaça é identificada, o FortiEDR pode executar ações predefinidas, como isolar o endpoint comprometido, bloquear comunicações maliciosas ou até mesmo desligar o dispositivo. Isso reduz o tempo de resposta e minimiza o impacto do ataque.

 

FortiEDR - Workflow - Blog Diário de Suporte

 

  1. Coletor FortiEDR coleta os metadados do sistema operacional (SO) de forma transparente em cada dispositivo de comunicação na organização. Quando uma solicitação de estabelecimento de conexão é feita em um dispositivo, o Coletor FortiEDR envia os metadados do estabelecimento de conexão do SO para o FortiEDR Core. Enquanto isso, o FortiEDR avalia a solicitação de conexão e decide se ela é legítima ou maliciosa.
  2. FortiEDR Core identifica solicitações maliciosas usando a tecnologia patenteada da Fortinet. Ele analisa os metadados do SO coletados e impõe as políticas de segurança. Apenas conexões legítimas são permitidas para comunicação de saída, enquanto tentativas maliciosas de conexão de saída são bloqueadas.
  3. Cada violação de política do FortiEDR gera um evento de segurança em tempo real (alerta). Esse evento é empacotado com abundantes metadados do dispositivo, descrevendo os componentes internos do sistema operacional que levaram à solicitação de conexão maliciosa. O FortiEDR Core aciona esses eventos, que podem ser visualizados no console do FortiEDR Central Manager. Além disso, o FortiEDR pode enviar alertas por e-mail e ser integrado às soluções padrão de Gerenciamento de Eventos e Informações de Segurança (SIEM) via Syslog.
  4. Para análise forense detalhada, o complemento Análise Forense (Forensic) permite que a equipe de segurança explore os dados de pilha internos e aprofunde os eventos de segurança reais.

 

Conclusão

O FortiEDR é uma ferramenta poderosa na luta contra ameaças cibernéticas. Sua combinação de detecção avançada, resposta automatizada e visibilidade completa torna-o essencial para qualquer organização que leve a segurança a sério. Ao adotar o FortiEDR, você estará um passo à frente na proteção dos seus ativos e dados contra-ataques maliciosos.

 

Documentação

 

Download: Fortinet FortiEDR Datasheet (PDF).

Download: Fortinet FortiCare Best Practice Service Datasheet (PDF).

Download: Ordering Guide (PDF).

Download: Administration Guide 6.2 (PDF).

 

Quer saber mais sobre esse e outros tipos de conteúdo? Fique de olho no Diário de Suporte. 😉

 

Tags:, , ,

Related posts

About The Author

Atuo na área de tecnologia da informação com 10+ anos de experiência. Trabalhando atualmente com Cyber Security Pre-Sales Engineer.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *