Подписаться
Читать в телеграм
FortiClient – унифицированное решение, обладающее широкими возможностями по защите конечных станций: персональным межсетевым экраном, URL-фильтром, контролем трафика приложений, защитой удаленных подключений, анализом уязвимостей, антивирусной защитой и противодействием целенаправленным атакам. Клиент интегрируется с «песочницей», чтобы иметь возможность отправлять на проверку подозрительные файлы в исполняемой среде.
Предварительно клиент может быть сконфигурирован таким образом, чтобы включать только необходимые функции: полный набор функций безопасности, только VPN либо произвольный набор функций, перечисленных выше.
Установка и архитектура
FortiClient распространяется бесплатно и его можно скачать с сайта forticlient.com. Но для централизованного управления политиками безопасности потребуется дополнительное лицензирование. Клиент может управляться как непосредственно с FortiGate (межсетевой экран нового поколения), так и с отдельного сервера управления, который называется EMS: FortiClient Enterprise Management Server. Возможно также комбинирование обоих способов управления.
Если говорить о клиенте, требования к его установке минимальные. Для комфортной работы с использованием всех возможностей FortiClient рекомендуется выделить не менее 512 Мб оперативной памяти, 600 Мб дискового пространства для операционных систем Windows и 256 Мб RAM/20 Мб HDD для MAC OS.
Операционные системы
Полный перечень операционных систем, которые поддерживаются: Windows 7/8/8.1/10, Windows Server 2008 R2/2012/2012 R2, MAC OS X v10.8 Mountain Lion/v10.9 Mavericks/v10.10 Yosemite/v10.11 El Capitan.
Совместимость с антивирусами
Для того чтобы обеспечить совместимость с предустановленными антивирусами рекомендуется отключать real-time antivirus protection. В этом случае будут исключены возможные конфликты со сторонними антивирусами при сохранении всех остальных возможностей FortiClient.
Обучение агента
Агент не нужно дополнительно обучать, так как анализ подозрительных файлов происходит в «песочнице», в которую FortiClient передает данные для анализа. В случае обнаружения подозрительной активности автоматически формируется сигнатура для этого файла. Если заказчик не возражает, он может разрешить «песочнице» делиться информацией об обнаруженных зловредных файлах с внешним миром, участвуя в пополнении глобальной базы угроз – FortiGuard. Ресурсы FortiGuard доступны всем пользователям решений Fortinet. На практике в большинстве случаев зловредные файлы обнаруживаются на основании признаков, сформированных ранее ресурсами FortiGuard либо на основании данных, полученных от других владельцев FortiSandbox, со всего мира. Если информация об обнаруженном файле в «песочнице» отсутствует, к нему применяются расширенные проверки для подробного изучения его поведения и обнаружения опасных признаков поведения.
Совместимость с другими компонентами
FortiClient является одним из элементов фабрики безопасности Fortinet – Сooperative Security Fabric (CSF). Эта концепция объединяет в себе практически все решения Fortinet для создания замкнутой среды безопасности. Решения, поддерживающее CSF, тесно интегрированы между собой и обеспечивают совместную координацию и противодействие угрозам в любой точке сети. Соответственно FortiClient и другие решения в рамках взаимодействия в многостороннем режиме делятся данными, обеспечивая актуальность информации о текущем уровнем угроз во всей сети.
Инструментарий для проведения расследований
FortiClient ведет собственный журнал событий, а также передает данные на централизованную систему логирования, анализа событий безопасности, корреляции и построения отчетов. Собранные данные могут быть объединены с информацией, поступающей с других устройств безопасности для составления карты угроз и корректировки политики безопасности для превентивного противодействия известным и потенциальным угрозам.
Поиск маркеров компрометации
После обнаружения вредоносного файла сигнатура этого файла может быть доступна клиентам, установленным на рабочих местах, real-time protection модуль которых проводит непрерывный анализ фалов на предмет их компрометации.
Карантин скомпрометированной станции
Скомпрометированная рабочая станция может быть немедленно исключена из сетевого обмена (отправлена в карантин) на время проведения профилактических работ. При этом необходимо, чтобы клиенты управлялись централизованно с FortiGate либо с EMS-сервера. На время карантина весь исходящий сетевой трафик зараженной машины блокируется клиентом, таким образом предоставляются время и возможность выполнить работы по очистке рабочего места, восстановлению или переустановке операционной системы. Администратор безопасности может восстановить рабочую станцию, используя централизованные средства управления.
Анализ файлов с флеш-носителей
Любые файлы, поступающие на рабочую станцию, проходят предварительную проверку в «песочнице» независимо от источника и способа доставки, включая сетевые протоколы, периферийные устройства и мобильные системы хранения данных. До окончательной проверки использование и передача файла ограничиваются, чтобы исключить распространение возможной угрозы.
