Qual a diferença entre FortiManager e FortiAnalyzer?

FortiManager (FMG) é a plataforma central de configuração e change management — empurra policies, objects, VPN, SD-WAN e firmware para os FortiGates. FortiAnalyzer (FAZ) é a plataforma central de telemetria — recebe logs, gera relatórios, hospeda a visão de SOC e alimenta SIEM/SOAR. São dois produtos porque change management e forense têm RPO/RTO e perfis de storage muito diferentes.

Preciso de FMG e FAZ em um deploy Fortinet pequeno?

Até 5 FortiGates num único site, GUI nativa + FortiCloud free bastam. Entre 6 e 25 devices multi-site, o FMG já se paga só no tempo de janela de mudança. Acima de 25, ou em qualquer cenário regulado ou multi-tenant, FMG + FAZ deixam de ser opcionais.

Como estruturar ADOMs no FortiManager?

Prefira um ADOM por unidade de negócio (enterprise), por região (MSP global com data-residency) ou por tenant (provedores). Evite um ADOM por site — parece limpo no dia 1 e vira inviável no site 40 por causa de objects duplicados, policies divergentes e busca global impossível.

Como dimensiono o disco do FortiAnalyzer?

Estime ~400 bytes por log de tráfego e 1–2 KB por evento UTM/IPS. Um FortiGate inspecionando 1 Gbps com web-filter e IPS gera 5–15 GB/dia. Multiplique pelo número de devices, some 30% de margem e multiplique pela retenção exigida pela conformidade (PCI-DSS 12 meses, HIPAA 6 anos, LGPD 5 anos). Para 50 FortiGates × 10 GB/dia × 365 dias dá ~238 TB úteis.

Quando dividir o FortiAnalyzer em collector e analyzer?

Acima de ~50 FortiGates, ou sempre que houver múltiplas regiões com requisitos de data-residency. FAZ Collectors ficam na borda, ingerem logs brutos baratos e mantêm tráfego de log local. O FAZ Analyzer puxa o agregado centralmente para reports, ML e playbooks FortiSoC. Isso permite escalar storage e análise de forma independente.

HA no FMG/FAZ substitui backup?

Não. HA protege contra falha de hardware, não contra erro de operador ou corrupção de banco. Uma má configuração no nó ativo replica para o secundário em segundos. Mantenha backup diário criptografado do banco do FMG em object storage S3-compatível fora do fabric Fortinet e teste o restore trimestralmente.

O FortiAnalyzer substitui um SIEM como Splunk ou Sentinel?

Em ambientes só Fortinet, FAZ + FortiSoC cobrem boa parte dos casos de SIEM/SOAR. Em ambientes multi-vendor, trate o FAZ como o melhor front-end para SIEM que existe para fabric Fortinet — encaminhe IPS, AV, web-filter, autenticação e ações de admin via syslog ou CEF e mantenha os logs brutos no FAZ para controlar custo de licença do SIEM.

FortiManager e FortiAnalyzer: design enterprise que dura (guia 2026)

Um FortiGate isolado atende um punhado de devices. FortiManager (FMG) e FortiAnalyzer (FAZ) são a diferença entre dezenas de firewalls e centenas operadas como uma só frota — desde que você dimensione, projete os ADOMs e configure o caminho dos logs corretamente desde o dia zero. Este é o playbook 2026 que usamos em deploys reais e nos tournaments TechLeague.

Quando você realmente precisa de FMG e FAZ

≤ 5 FortiGates, site único → GUI nativa + FortiCloud free resolvem.
6–25 FortiGates, multi-site → o FMG já se paga só no tempo de janela de mudança.
25+ FortiGates, ambiente regulado ou multi-tenant → FMG + FAZ são obrigatórios.

FMG centraliza configuração (policies, objects, VPN, SD-WAN, FortiAP/FortiSwitch). FAZ centraliza telemetria (logs de tráfego, ameaça, sistema, UTM e relatórios). São dois produtos de propósito: change management e forense têm requisitos de RPO/RTO diferentes.

Estratégia de ADOM: a decisão que define os próximos 5 anos

ADOM (Administrative Domain) é o container lógico de devices, policy packages, objects e admins. Padrões que sobrevivem:

Por unidade de negócio (preferido em enterprise): um ADOM = uma BU = uma família de policy packages. Reuso máximo de objects, RBAC simples, casa com a forma como o negócio é auditado.
Por região (preferido em MSP global com zonas regulatórias): EU-ADOM, US-ADOM, LATAM-ADOM, cada um com sua história de data-residency para logs do FAZ.
Por tenant (MSP / colo): um ADOM por cliente; combine com VDOMs no FortiGate para um chassis servir vários clientes sem vazar objects.
Evite ADOM por site. Parece organizado no dia 1 e vira pesadelo no site 40 — objects duplicados, policies divergentes, busca global impossível.

Ative Workflow Mode em todo ADOM de produção. Toda mudança vira uma sessão que precisa de aprovação antes do install. É isso que transforma o FMG de "GUI do firewall" em change management de verdade.

Policy packages: header, footer e dynamic objects

Header/footer policies para guardrails globais — deny-any-any para mgmt RFC1918, allow NTP/DNS para resolvers corporativos, bloqueio de GeoIPs conhecidos. Centralizado; admin de site não desabilita.
Diferença por site via dynamic objects (Per-Device Mapping). Um obj-internal-net resolve para 10.10.0.0/16 em São Paulo e 10.20.0.0/16 em Madri. Mesmo policy package, config renderizada diferente por device.

Mantenha poucos policy packages (alvo < 20 por ADOM). Um package por arquétipo de topologia (HQ, branch, DMZ, zona OT), não um por site.

Sizing do FortiAnalyzer — a conta que ninguém quer fazer

Média de 400 bytes por log de tráfego, 1–2 KB por evento UTM/IPS.
Um FortiGate enterprise médio (1 Gbps inspecionado) gera 5–15 GB/dia de logs com web-filter e IPS ativos.
Multiplique pelo número de devices. Some 30% de margem. Multiplique pela retenção em dias.

Para 50 FortiGates × 10 GB/dia × 365 dias quentes + 30% = ~238 TB de disco útil. PCI-DSS (12 meses), LGPD (5 anos) e HIPAA (6 anos) dirigem o número mais do que o volume bruto de tráfego.

Topologia FAZ: collector + analyzer, não uma caixa só

FAZ Collector na borda / por região recebe logs brutos. Disco barato, ingest rápido, pouca análise.
FAZ Analyzer puxa logs agregados. CPU/RAM pesados para reports, ML, dashboards de SOC e playbooks FortiSoC.

Mantém tráfego de log local na WAN, dá controle de data-residency por região e permite escalar storage independentemente da análise.

Alta disponibilidade que sobrevive a um incidente real

FMG HA: cluster ativo-passivo, até 5 nós. Banco de configuração sincronizado; só um nó escreve. Coloque secundários em fault domains diferentes.
FAZ HA: primary/secondary com sync de logs. Disco igual nos dois lados — secundário sem retenção é inútil.
Backups fora do cluster. Backup diário criptografado do banco do FMG para object storage S3-compatível fora do fabric Fortinet. HA replica corrupção; só backup out-of-band salva.

Forwarding de logs e integração SIEM

syslog ou CEF do FAZ para Splunk / QRadar / Sentinel / Chronicle. Envie só o que sua licença justifica — normalmente IPS, AV, web-filter, login e ações de admin.
Playbooks FortiSoC consomem logs do FAZ nativamente para contenção automática (quarentena de endpoint, bloqueio de IOC na frota, kick de sessão VPN).
Fabric Connectors do FAZ jogam eventos enriquecidos no ServiceNow, Jira, MS Teams para ticketing.

Armadilhas que aparecem em toda auditoria

Um ADOM por site (o erro #1).
Disco do FAZ cheio no dia 380 porque ninguém calculou retenção × crescimento.
Split-brain no cluster FMG após flap de WAN — sempre heartbeat em caminho dedicado, nunca compartilhado com install de config.
Sem backup fora do cluster. HA não é backup.
Misturar versões majors de FortiOS sem caminho de upgrade testado no FMG. FMG deve estar igual ou acima da maior versão FortiOS gerenciada.

Rollout de 90 dias que funciona

Dias 0–15: desenhar ADOMs, rascunhar policy packages, dimensionar FAZ, montar lab.
Dias 15–45: onboard 10% da frota (uma BU ou região). Validar workflow mode, dynamic objects, header/footer.
Dias 45–75: onboard do restante. Cutover do log forwarding direto → via FAZ.
Dias 75–90: ativar playbooks FortiSoC, ligar SIEM, documentar runbooks, rodar tabletop.

Treine operação de segurança multi-vendor e design FMG/FAZ sob pressão em um TechLeague tournament.