FortiAnalyzer: Como Usar Logs para Melhorar a Segurança da Sua Rede

Você sabia que uma empresa típica gera mais de 25GB de logs de segurança por dia? Sem as ferramentas adequadas para analisar esses dados, é como ter um sistema de alarme que nunca é monitorado. O FortiAnalyzer da Fortinet surge como a solução para transformar essa montanha de dados em inteligência de segurança acionável.

💡 O Que Você Vai Aprender

Como configurar e usar o FortiAnalyzer efetivamente
Técnicas práticas de análise de logs para identificar ameaças
Criação de relatórios automatizados e dashboards
Casos reais de detecção de incidentes de segurança
Melhores práticas para SOC (Security Operations Center)

🔍 O Que É o FortiAnalyzer?

O FortiAnalyzer é a plataforma SIEM (Security Information and Event Management) da Fortinet, projetada especificamente para coletar, correlacionar e analisar logs de segurança de toda a infraestrutura de rede. Ele funciona como o "cérebro" do seu SOC, processando milhões de eventos por segundo.

📥 Coleta Centralizada

Recebe logs de FortiGates, FortiAPs, FortiSwitches e dispositivos de terceiros via syslog, SNMP e APIs.

🔄 Correlação Inteligente

Analisa padrões e relaciona eventos para identificar ameaças complexas e ataques coordenados.

📊 Visualização Avançada

Dashboards interativos e relatórios customizáveis para diferentes níveis de gestão.

⚡ Resposta Automatizada

Triggers automáticos para notificações, quarentena e bloqueios baseados em eventos.

🚀 Configuração Inicial do FortiAnalyzer

Antes de mergulharmos na análise, vamos configurar o FortiAnalyzer corretamente. Uma configuração adequada é fundamental para obter insights valiosos.

Configuração de Rede e Licenciamento

Configure o IP, DNS e NTP. Aplique a licença e configure o timezone correto para correlação temporal precisa.

Adição de Dispositivos FortiGate

No FortiGate: config log fortianalyzer setting → definir IP do FortiAnalyzer e habilitar logs de tráfego, eventos e UTM.

Configuração de Retenção de Logs

Defina políticas de retenção baseadas em compliance. Exemplo: logs de tráfego por 90 dias, logs de segurança por 1 ano.

Configuração de RAID e Backup

Configure RAID para alta disponibilidade e backups automáticos para local offsite ou nuvem.

📋 Exemplo de Configuração no FortiGate

# Configuração básica do FortiAnalyzer no FortiGate
config log fortianalyzer setting
    set status enable
    set server "192.168.1.100"
    set source-ip "192.168.1.10"
    set upload-option realtime
    set reliable enable
end

# Habilitar logs específicos
config log fortianalyzer filter
    set severity information
    set forward-traffic enable
    set local-traffic enable
    set multicast-traffic enable
    set sniffer-traffic enable
end
            

📈 Tipos de Logs e Sua Importância

O FortiAnalyzer coleta diferentes tipos de logs, cada um fornecendo insights únicos sobre a segurança da rede:

Tipo de Log	Informações Fornecidas	Uso na Análise de Segurança
Traffic Logs	IP origem/destino, portas, protocolos, bytes transferidos	Análise de padrões de tráfego, detecção de exfiltração de dados
UTM Logs	Detecções de antivírus, IPS, web filtering, application control	Identificação de malware, tentativas de intrusão, violações de política
Event Logs	Login/logout de administradores, mudanças de configuração	Auditoria de segurança, compliance, detecção de atividade suspeita
VPN Logs	Conexões VPN, autenticações, desconexões	Monitoramento de acesso remoto, detecção de tentativas de força bruta
WiFi Logs	Associações de clientes, roaming, autenticações	Segurança wireless, detecção de dispositivos não autorizados

🎯 Técnicas Práticas de Análise de Logs

1. Detecção de Tentativas de Força Bruta

Uma das análises mais importantes é identificar tentativas de força bruta contra serviços como SSH, RDP ou aplicações web.

⚠️ Indicadores de Força Bruta

Múltiplas tentativas de login falhadas do mesmo IP
Tentativas em intervalos regulares (scripts automatizados)
Uso de usernames comuns (admin, administrator, root)
Tentativas contra múltiplos serviços simultaneamente

Query Prática no FortiAnalyzer:

# Buscar tentativas de força bruta SSH
select srcip, count(*) as attempts 
from $log-traffic 
where dstport=22 and action='deny' 
and $filter_time 
group by srcip 
having attempts > 10 
order by attempts desc
            

2. Análise de Exfiltração de Dados

Detectar possível vazamento de dados através da análise de padrões de tráfego anômalos.

# Identificar uploads suspeitos (possível exfiltração)
select srcip, dstip, sum(sentbyte) as total_upload 
from $log-traffic 
where sentbyte > 1048576 # > 1MB
and $filter_time 
group by srcip, dstip 
having total_upload > 104857600 # > 100MB total
order by total_upload desc
            

3. Detecção de Malware e Comunicação C&C

Identificar comunicação com servidores de comando e controle através da análise de logs UTM.

🚨 Sinais de Comunicação C&C

Conexões regulares para IPs/domínios suspeitos
Tráfego criptografado para destinos não comerciais
Beaconing (comunicação em intervalos regulares)
Uso de protocolos não padrão ou portas incomuns

📊 Criando Dashboards Efetivos

Um dashboard bem estruturado é essencial para monitoramento proativo. Aqui estão os widgets mais importantes:

🔥 Top Ameaças

Widget mostrando os principais tipos de ameaças detectadas nas últimas 24 horas, com drill-down para detalhes.

🌐 Tráfego por Aplicação

Visualização do uso de bandwidth por aplicação para identificar anomalias e otimizar performance.

🎯 IPs Mais Atacados

Lista dos IPs internos que recebem mais tentativas de ataque, priorizando proteção.

🔒 Status de VPN

Monitoramento em tempo real de conexões VPN ativas, tentativas de acesso e falhas de autenticação.

🎨 Configuração de Dashboard Personalizado

Acesse Reports > Chart Library

Navegue para a biblioteca de gráficos e selecione "Create New Chart".

Escolha o Dataset

Selecione "Traffic" para análise de tráfego ou "Event" para eventos de segurança.

Configure Filtros e Agrupamentos

Defina período, dispositivos fonte e critérios de agrupamento (por IP, aplicação, etc.).

Personalize a Visualização

Escolha tipo de gráfico (barra, pizza, linha) e configure cores e labels.

🚨 Casos Reais de Detecção de Incidentes

Caso 1: Detecção de Ransomware WannaCry

🦠 Cenário

Uma empresa notou lentidão na rede. Através da análise de logs do FortiAnalyzer, foi identificado tráfego SMB suspeito.

Análise Realizada:

Filtro por protocolo: Análise de tráfego SMB (porta 445) nas últimas 24 horas
Identificação de padrão: Um IP interno fazendo conexões SMB para múltiplos destinos
Correlação temporal: Aumento súbito de tráfego SMB coincidindo com alertas de antivírus
Ação tomada: Isolamento imediato do IP suspeito e varredura completa da rede

# Query usada para identificar o padrão
select srcip, count(distinct dstip) as targets, sum(sentbyte) as total_traffic
from $log-traffic 
where dstport=445 and srcip like '192.168.%'
and $filter_time 
group by srcip 
having targets > 20 
order by targets desc
            

Caso 2: Detecção de Acesso Não Autorizado

🔐 Cenário

Acesso administrativo suspeito detectado fora do horário comercial através de análise de event logs.

Indicadores Identificados:

Login administrativo às 2:30 AM (fora do horário normal)
IP origem diferente dos IPs usuais do administrador
Mudanças de configuração logo após o login
Não havia chamado registrado no sistema de tickets

⚙️ Configuração de Alertas Automatizados

A configuração de alertas proativos é crucial para resposta rápida a incidentes. O FortiAnalyzer permite criar triggers baseados em eventos específicos.

Exemplos de Alertas Críticos:

Tipo de Alerta	Condição	Ação Sugerida
Força Bruta SSH	> 50 tentativas falhas em 5 minutos	Bloqueio automático do IP + notificação SOC
Malware Detectado	Qualquer detecção de antivírus	Quarentena do host + análise forense
Exfiltração de Dados	> 1GB upload por IP em 1 hora	Investigação imediata + monitoramento intensivo
Login Administrativo	Acesso admin fora do horário comercial	Notificação imediata + verificação de autenticidade

🔧 Configuração de Trigger no FortiAnalyzer

# Configuração de alerta para força bruta
config report-template trigger
    edit "SSH_Brute_Force"
        set description "Detecta tentativas de força bruta SSH"
        set email-subject "ALERTA: Tentativa de força bruta SSH detectada"
        set condition-logic and
        config conditions
            edit 1
                set key "dstport"
                set op "="
                set val "22"
            next
            edit 2
                set key "action"
                set op "="
                set val "deny"
            next
        end
        set count-threshold 50
        set time-period 300 # 5 minutos
    next
end
            

📋 Melhores Práticas para SOC

1. Estruturação de Equipes

👥 Nível 1 - Analistas

Monitoramento 24/7, triagem inicial de alertas, escalação de incidentes complexos.

🔍 Nível 2 - Especialistas

Investigação detalhada, análise forense, contenção de incidentes.

🛡️ Nível 3 - Arquitetos

Threat hunting, desenvolvimento de playbooks, tuning de regras.

2. Playbooks de Resposta

📖 Exemplo: Playbook para Malware Detectado

Detecção: FortiAnalyzer gera alerta de malware
Isolamento: Analista isola o host infectado da rede
Análise: Coleta de evidências e análise do malware
Contenção: Verificação de propagação lateral
Erradicação: Limpeza do sistema infectado
Recuperação: Restauração segura dos serviços
Lições: Atualização de assinaturas e regras

3. KPIs (Key Performance Indicators)

Métrica	Meta	Frequência de Medição
MTTD (Mean Time to Detection)	< 15 minutos	Diária
MTTR (Mean Time to Response)	< 1 hora	Por incidente
False Positive Rate	< 5%	Semanal
Security Events Processed	100% dos logs	Contínua

🔮 Análise Avançada com Machine Learning

O FortiAnalyzer mais recente incorpora capacidades de Machine Learning para detecção de ameaças avançadas:

UEBA (User and Entity Behavior Analytics)

Analisa comportamentos normais de usuários e detecta anomalias que podem indicar comprometimento de contas:

Horários de acesso incomuns: Usuário logando fora do padrão normal
Localização geográfica: Acesso de locais incomuns
Volume de dados: Download/upload acima do padrão
Recursos acessados: Tentativa de acesso a sistemas não usuais

✅ Benefícios do UEBA

Redução de falsos positivos em até 60%
Detecção de ameaças insider mais eficaz
Identificação de contas comprometidas mais rápida
Baseline automático do comportamento normal

💰 ROI e Benefícios Mensuráveis

Implementar o FortiAnalyzer corretamente gera benefícios mensuráveis para a organização:

⏱️ Redução de Tempo

85% menos tempo para identificar e responder a incidentes de segurança.

💵 Economia de Custos

ROI de 300% em 2 anos através da prevenção de incidentes e otimização de equipes.

📊 Compliance

100% de conformidade com regulamentações como LGPD, PCI-DSS e ISO 27001.

🎯 Precisão

95% de precisão na detecção de ameaças com ML ativado.

🚀 Conclusão: Transformando Logs em Inteligência

O FortiAnalyzer não é apenas um coletor de logs - é uma plataforma completa de inteligência de segurança que transforma dados brutos em insights acionáveis. A implementação correta desta ferramenta pode:

🎯 Resultados Esperados

Visibilidade total da infraestrutura de segurança
Detecção proativa de ameaças avançadas
Resposta automatizada a incidentes críticos
Compliance facilitado com relatórios automáticos
Otimização contínua da postura de segurança

Lembre-se: logs sem análise são apenas dados ocupando espaço. Com o FortiAnalyzer e as técnicas apresentadas neste artigo, você transforma esses dados em sua principal linha de defesa contra ameaças cibernéticas.

💡 Próximos Passos Recomendados

Avalie sua infraestrutura atual de logs
Dimensione o FortiAnalyzer adequado para seu ambiente
Implemente as configurações básicas apresentadas
Crie seus primeiros dashboards e alertas
Treine sua equipe nas técnicas de análise
Desenvolva playbooks de resposta específicos