Você tem um ou mais FortiGates instalados e começa a ouvir falar em FortiManager e FortiAnalyzer. A dúvida é legítima: o FortiGate já é um produto completo — qual é o papel desses outros dois? Quando eles realmente justificam o investimento? E o que acontece quando você os usa em conjunto? Este artigo responde a essas perguntas com critério técnico e perspectiva prática — sem vender solução antes de explicar o problema que ela resolve.
Os três produtos e o papel de cada um no ecossistema Fortinet
Antes de discutir quando usar cada produto, é preciso entender o que cada um faz — e, principalmente, o que cada um não faz.
O FortiGate é o firewall de próxima geração (NGFW). Sua função é operar na linha de frente: inspecionar tráfego, aplicar políticas de segurança, bloquear ameaças, gerenciar VPNs e operar o SD-WAN. Cada FortiGate tem sua própria interface de administração local (GUI web) e registra logs de tudo o que acontece na rede que ele protege. Para uma empresa com um único FortiGate em uma única sede, o FortiGate sozinho é frequentemente suficiente para a operação diária.
O FortiManager é a console de administração centralizada. Ele não inspeciona tráfego — não é um firewall. Ele gerencia firewalls: configura políticas, distribui atualizações de firmware, controla objetos de rede reutilizáveis e provisiona novos dispositivos em filiais remotas sem intervenção manual local (Zero Touch Provisioning). Pense nele como o “maestro da orquestra” que garante que todos os FortiGates da empresa falem a mesma língua de segurança, ao mesmo tempo, com a mesma política.
O FortiAnalyzer é a plataforma de análise, logs e relatórios. Ele também não inspeciona tráfego. Ele escuta o que os FortiGates (e outros dispositivos Fortinet) registram, agrega esses dados em um único repositório, correlaciona eventos entre dispositivos diferentes para identificar ataques coordenados, gera relatórios de conformidade e emite alertas de incidente. É o “cérebro analítico” que transforma dados brutos de logs em inteligência de segurança acionável.
Em termos de metáfora operacional: se o FortiGate é o guarda que patrulha a entrada do edifício, o FortiManager é o sistema de controle central que instrui todos os guardas ao mesmo tempo, e o FortiAnalyzer é o analista que revisa todas as câmeras de segurança, correlaciona eventos suspeitos e produz relatórios de incidente.
O que o FortiGate faz sozinho — e onde chegam seus limites
Para dimensionar corretamente quando os outros produtos são necessários, é preciso entender até onde o FortiGate chega operando de forma independente.
Um único FortiGate possui sua própria GUI web completa para configuração de políticas, objetos, rotas, VPNs, SD-WAN e todas as funcionalidades do FortiOS. Inclui o FortiView embutido — um painel de visibilidade em tempo real que mostra tráfego atual, aplicações identificadas, usuários ativos, ameaças bloqueadas e eventos de segurança. Para volumes menores de dados, o FortiGate armazena logs localmente (nos modelos com armazenamento interno, como os sufixos 1G da série G) ou envia para o FortiGate Cloud, versão simplificada de gerenciamento e logging baseada em nuvem.
Esses recursos cobrem adequadamente empresas com um único FortiGate em uma única localização, equipe de TI pequena e sem requisitos formais de auditoria ou conformidade regulatória avançada.
Os limites começam a aparecer em cenários específicos:
Múltiplos dispositivos FortiGate. Com dois ou mais FortiGates — em filiais diferentes, na mesma sede em HA, ou como firewall perimetral + segmentação interna —, o administrador precisa acessar cada console individualmente para fazer qualquer alteração. Uma mudança de política que precisaria ser replicada em 10 filiais exige 10 logins, 10 edições manuais e 10 verificações. O risco de inconsistência entre políticas cresce com cada dispositivo adicionado.
Retenção de logs para conformidade. O FortiView embutido mostra dados em tempo real e histórico recente. A capacidade de armazenamento local é limitada — dependendo do modelo e do volume de tráfego, logs antigos são sobrescritos em dias ou semanas. Para conformidade com LGPD, PCI-DSS ou ISO 27001, que geralmente exigem retenção de 1 a 3 anos de logs, o armazenamento local do FortiGate não é suficiente.
Correlação de eventos entre dispositivos. O FortiView de cada FortiGate enxerga apenas o tráfego que passa por ele. Um ataque que começa em uma filial, se move lateralmente por VPN para a sede e exfiltra dados por outro segmento de rede aparece como eventos isolados e sem conexão óbvia nas consoles individuais dos três dispositivos envolvidos. A correlação que revela o ataque completo só existe quando há uma visão consolidada de todos os dispositivos.
Relatórios para auditoria e liderança. O FortiView não gera relatórios executivos formatados para apresentação a diretores, auditores ou reguladores. Os dashboards são operacionais — não são documentos de conformidade.
FortiManager: quando a gestão centralizada deixa de ser opcional
A recomendação prática consolidada pela Fortinet e por parceiros certificados é direta: a partir de 3 dispositivos FortiGate, o FortiManager deixa de ser um luxo e passa a ser uma necessidade operacional. Abaixo desse número, o FortiGate Cloud ou a gestão direta em cada console ainda é gerenciável. Acima de 3, o custo operacional da administração manual começa a superar consistentemente o custo do FortiManager.
O principal motivo é o que a Fortinet chama de política central: a capacidade de criar uma regra de firewall uma única vez no FortiManager e distribuí-la para todos os FortiGates gerenciados simultaneamente — com objetos reutilizáveis, sem retrabalho, sem risco de inconsistência entre versões de política em dispositivos diferentes.
Zero Touch Provisioning (ZTP): onboarding de filiais sem técnico local. Este é, na prática, o recurso que mais justifica o FortiManager para empresas com distribuição geográfica. Com o ZTP, o processo de instalação de um novo FortiGate em uma filial remota funciona assim: o appliance é entregue na filial, alguém conecta o cabo de internet e liga o equipamento. O FortiGate, ao fazer boot com configuração padrão de fábrica, obtém acesso à internet via DHCP, descobre automaticamente o endereço do FortiManager via FortiCloud ou DHCP Option 240/241, autentica-se pelo número de série, e recebe automaticamente toda a configuração, firmware na versão correta e políticas de segurança pré-definidas. Nenhum técnico Fortinet precisa estar fisicamente presente na filial. O processo completo leva minutos.
Administração baseada em funções (RBAC) e domínios administrativos (ADOMs). O FortiManager permite criar perfis de acesso granulares: um administrador de rede pode configurar rotas e VPNs sem ter acesso às políticas de segurança; um analista de segurança pode revisar e propor mudanças de política sem ter permissão de aplicá-las em produção sem aprovação. Os ADOMs (Administrative Domains) permitem segmentar o gerenciamento por cliente, por unidade de negócio ou por região geográfica — essencial para MSSPs (provedores de segurança gerenciada) ou empresas com múltiplas subsidiárias.
Gerenciamento de firmware em escala. Manter todos os FortiGates da empresa na versão de firmware correta — e atualizar todos em janelas de manutenção coordenadas, não individualmente — é uma das tarefas mais trabalhosas na administração manual. O FortiManager centraliza esse processo: o administrador carrega o firmware uma vez, define a janela de manutenção e distribui a atualização para todos os dispositivos do grupo. Também é possível fazer rollback coordenado se uma versão introduz problemas.
FortiAI integrado ao FortiManager. A versão atual do FortiManager inclui o FortiAI-Assist, assistente de IA que usa processamento de linguagem natural para ajudar administradores a navegar em ambientes complexos, diagnosticar vulnerabilidades de IoT, criar scripts de automação e sugerir otimizações de políticas. Esse recurso reduz a dependência de especialistas sênior para tarefas de configuração e diagnóstico de rotina.
Integração nativa com SD-WAN em escala. Para empresas com muitas filiais usando o SD-WAN do FortiGate, o FortiManager oferece orquestração centralizada de overlays SD-WAN, templates de configuração de WAN e políticas de roteamento inteligente distribuídas simultaneamente para todos os sites. Isso é inviável de gerenciar manualmente em ambientes com dezenas ou centenas de filiais.
FortiAnalyzer: quando logs viram inteligência e conformidade vira evidência
A pergunta sobre quando adotar o FortiAnalyzer tem uma resposta diferente da do FortiManager. Ela não é sobre quantidade de dispositivos — é sobre três necessidades específicas que o FortiGate sozinho não consegue atender:
1. Retenção de longo prazo para conformidade regulatória. A LGPD, o PCI-DSS, a ISO 27001 e outros frameworks regulatórios exigem que organizações mantenham registros de acesso a dados, eventos de segurança e atividades de rede por períodos que variam de 6 meses a 5 anos, dependendo do setor e do tipo de dado. O armazenamento local de um FortiGate não foi projetado para esse volume e esse prazo. O FortiAnalyzer armazena logs de múltiplos dispositivos com retenção configurável — na versão as-a-service, por exemplo, logs analíticos ficam disponíveis por 1 ano e logs sintéticos por até 3 anos, com conformidade explícita com o Marco Civil da Internet e a LGPD.
2. Correlação de eventos para detecção de ameaças avançadas. O FortiAnalyzer não apenas armazena logs — ele os analisa. O mecanismo de correlação automática cruza eventos de diferentes fontes (FortiGates, FortiAPs, FortiSwitches, FortiClient, dispositivos de terceiros via syslog) para identificar padrões que indicam ataques coordenados. Detalhes que passam despercebidos em análises isoladas por dispositivo tornam-se um alerta de alta prioridade quando correlacionados: um login fora do horário habitual no FortiGate da sede, combinado com acesso a um servidor de arquivos incomum e tráfego de saída elevado na mesma hora, pode indicar um comprometimento de credencial que nenhum dos três eventos sozinho tornaria óbvio.
O FortiAnalyzer integra-se ao FortiGuard Labs para correlação automática com indicadores de comprometimento (IOC) conhecidos e mapeamento de ameaças para o framework MITRE ATT&CK. O FortiAI-Assist no FortiAnalyzer permite que analistas façam consultas em linguagem natural — “mostre todas as tentativas de acesso administrativo fora do horário comercial nos últimos 30 dias” — sem precisar escrever consultas SQL manuais.
3. Relatórios de conformidade e visibilidade executiva. O FortiView embutido no FortiGate é uma ferramenta operacional em tempo real — não produz relatórios formatados para auditores ou para apresentação à diretoria. O FortiAnalyzer inclui uma biblioteca de relatórios pré-configurados prontos para os principais frameworks regulatórios: LGPD, PCI-DSS, ISO 27001, HIPAA, NIST. Esses relatórios são gerados automaticamente em intervalos definidos e podem ser exportados em PDF ou HTML para apresentação em auditorias ou reuniões de governança. Não há configuração manual para cada relatório — os packs de automação são atualizados mensalmente pela Fortinet.
Um cenário concreto ilustra o valor: para uma auditoria de conformidade com a LGPD, a equipe de segurança precisa demonstrar que dados pessoais só foram acessados por usuários autorizados, em horários e sistemas esperados, com registro auditável de cada acesso. Com o FortiAnalyzer, esse relatório é gerado em minutos — com dados consolidados de todos os FortiGates, FortiAPs e outros dispositivos da rede. Sem ele, a equipe de TI precisaria exportar manualmente logs de cada dispositivo, consolidar em planilhas e construir a narrativa de conformidade do zero para cada auditoria.
Alertas e resposta automatizada. O FortiAnalyzer permite configurar Automation Stitches — regras de automação que conectam um evento detectado a uma ação. Quando o FortiAnalyzer identifica um padrão de ataque de força bruta contra o painel administrativo do FortiGate, por exemplo, pode automaticamente notificar a equipe via e-mail/webhook e instruir o FortiManager a bloquear o IP de origem em todos os dispositivos gerenciados — sem intervenção manual e em segundos.
Como os três funcionam juntos: o trio que define o Security Fabric
A arquitetura completa — FortiGate + FortiManager + FortiAnalyzer — é o que a Fortinet chama de Fabric Management Center. É quando os três operam juntos que o potencial do Fortinet Security Fabric se manifesta de forma mais clara.
O fluxo operacional integrado funciona assim: o FortiGate protege a rede e gera logs de cada evento de segurança relevante — pacotes bloqueados, sessões SSL inspecionadas, tentativas de intrusão, atividade de usuários. Esses logs são enviados em tempo real para o FortiAnalyzer, que os armazena, correlaciona e analisa. Quando o FortiAnalyzer identifica um padrão de risco, ele pode acionar o FortiManager — que aplica automaticamente uma nova política em todos os FortiGates gerenciados para conter a ameaça. O ciclo completo — do evento à contenção — pode acontecer em minutos, sem que nenhum administrador precise intervir manualmente.
Um exemplo prático documentado pela comunidade técnica Fortinet: o FortiClient em um endpoint detecta comportamento suspeito e reporta ao FortiAnalyzer. Simultaneamente, o FortiGate da filial registra tráfego anômalo de saída a partir do mesmo host. O FortiAnalyzer correlaciona os dois eventos, identifica um incidente de alto risco, e via Automation Stitch notifica o FortiManager, que aplica nova política nos FortiGates relevantes para bloquear o IP de origem e instrui o FortiNAC a isolar o endpoint da rede — tudo ocorrendo em minutos, antes que o ataque se propague.
A própria Fortinet documenta que a implantação recomendada é o FortiManager gerenciando o FortiAnalyzer — quando isso é feito, todos os blocos de interface do FortiAnalyzer aparecem integrados na console do FortiManager, criando de fato um único painel de comando para gestão e visibilidade. Para o administrador, a experiência é de um único produto em vez de três consoles separadas.
FortiGate Cloud vs. FortiManager e FortiAnalyzer: quando a versão cloud basta
Uma dúvida comum é sobre o FortiGate Cloud — o serviço SaaS gratuito (com limitações) incluso nos appliances FortiGate. Vale entender exatamente o que ele oferece para não adquirir o FortiManager ou o FortiAnalyzer antes de precisar.
O FortiGate Cloud fornece gestão básica via nuvem, logging centralizado com retenção limitada (7 dias na versão gratuita, até 1 ano na versão paga), relatórios básicos e acesso remoto à console. É adequado para empresas com 1 a 2 FortiGates, sem requisitos formais de conformidade, sem necessidade de correlação avançada de eventos e sem operação de filiais em escala.
A Fortinet é direta nessa distinção: o FortiGate Cloud é “a solução simples que fornece os conceitos básicos de gerenciamento e configuração”, enquanto o FortiManager e o FortiAnalyzer são “a solução de gerenciamento central com todos os recursos, configurações avançadas, fluxos de trabalho e geração de relatórios” para organizações com necessidades mais sofisticadas.
A tabela abaixo resume os critérios de decisão:
| Cenário | Recomendação |
|---|---|
| 1–2 FortiGates, sede única, sem requisito de conformidade formal | FortiGate + FortiGate Cloud |
| 3+ FortiGates ou múltiplas filiais | FortiGate + FortiManager |
| Conformidade LGPD/PCI-DSS/ISO 27001 com auditoria formal | FortiGate + FortiAnalyzer |
| Múltiplas filiais + conformidade regulatória | FortiGate + FortiManager + FortiAnalyzer |
| SOC interno ou terceirizado, correlação avançada de ameaças | FortiGate + FortiManager + FortiAnalyzer |
| MSSP gerenciando clientes múltiplos | FortiGate + FortiManager (ADOMs por cliente) + FortiAnalyzer |
Opções de implantação: hardware, virtual ou cloud
Tanto o FortiManager quanto o FortiAnalyzer estão disponíveis em três formatos de implantação, e a escolha depende das preferências de infraestrutura e do modelo operacional da empresa.
Appliance físico. Servidores dedicados com hardware otimizado para as funções de gestão e logging. Indicado para ambientes que exigem controle total da infraestrutura, alta performance de ingestão de logs (FortiAnalyzer com RAID hot-swap) ou restrições regulatórias sobre armazenamento de dados fora das instalações da empresa.
Máquina virtual (VM). Disponível para VMware, Hyper-V, KVM e os principais provedores de cloud (AWS, Azure, Google Cloud). Mesmas funcionalidades do appliance físico com armazenamento elástico em SAN/NAS. Ideal para empresas que já têm infraestrutura de virtualização consolidada e querem evitar hardware adicional.
Cloud (FortiManager Cloud e FortiAnalyzer Cloud). Serviço SaaS gerenciado pela Fortinet. Zero infraestrutura para o cliente, armazenamento elástico, SLA de 99,9% de disponibilidade. Indicado para empresas que querem eliminar a manutenção de infraestrutura de gestão e escalar conforme a necessidade, pagando por consumo. A versão cloud do FortiAnalyzer tem conformidade explícita com LGPD e permite que os dados sejam devolvidos em arquivo texto no cancelamento do contrato — importante para portabilidade e auditoria.
O erro mais comum: adiar o FortiAnalyzer até depois de um incidente
O padrão que observamos consistentemente em diagnósticos de segurança é o seguinte: a empresa adquire FortiGates, opera por meses ou anos sem FortiAnalyzer, tem um incidente de segurança — comprometimento de credencial, comportamento anômalo, suspeita de exfiltração de dados — e aí percebe que não tem logs suficientes para entender o que aconteceu, quando começou, quais sistemas foram afetados e qual é o escopo real do comprometimento.
A análise forense de um incidente depende diretamente da profundidade e da retenção histórica dos logs disponíveis. Sem o FortiAnalyzer, a empresa frequentemente não consegue responder às perguntas básicas que reguladores, seguradoras e a própria diretoria fazem após um incidente: o que foi acessado? Por quanto tempo o acesso não autorizado existiu? Quais dados foram potencialmente expostos? A ausência dessas respostas tem consequências práticas em termos de notificação à ANPD, acionamento de seguros de cyber e processos legais.
O FortiAnalyzer Cloud tem um modelo de assinatura mensal que permite adotá-lo incrementalmente — começando com uma quantidade menor de armazenamento e expandindo conforme necessário. Isso elimina a necessidade de justificar um grande investimento inicial antes de um incidente acontecer.
InfoB e a implementação do trio FortiGate + FortiManager + FortiAnalyzer
Como parceira certificada Fortinet, a InfoB implementa o ecossistema Fortinet completo em empresas de médio porte — do dimensionamento correto ao desenho de arquitetura, implementação dos três produtos, configuração de políticas centrais no FortiManager, definição de políticas de retenção e alertas no FortiAnalyzer e treinamento das equipes de TI para operar o ambiente com autonomia.
A pergunta inicial que fazemos em todo diagnóstico é simples: se você precisasse provar hoje para um auditor que nenhum dado pessoal de clientes foi acessado de forma não autorizada nos últimos 12 meses, você conseguiria? Se a resposta for incerta, é provável que o FortiAnalyzer seja a lacuna mais crítica no ambiente atual — independentemente de quantos FortiGates estão instalados.
A InfoB oferece diagnóstico gratuito de segurança que mapeia o ambiente atual, identifica as lacunas de visibilidade e governança, e apresenta um caminho gradual de implementação — priorizando o que tem maior impacto de segurança no contexto específico da sua empresa. Fale com um especialista InfoB.
Perguntas Frequentes sobre FortiManager e FortiAnalyzer
Qual a diferença entre FortiGate, FortiManager e FortiAnalyzer?
O FortiGate é o firewall NGFW — protege a rede inspecionando e bloqueando tráfego em tempo real. O FortiManager é a console de administração centralizada — gerencia políticas, firmware e configurações de múltiplos FortiGates em uma única interface. O FortiAnalyzer é a plataforma de análise e logs — coleta, correlaciona e transforma os dados gerados pelos FortiGates em inteligência de segurança, relatórios de conformidade e alertas de incidente.
A partir de quantos FortiGates preciso do FortiManager?
A recomendação prática da Fortinet e de parceiros certificados é adotar o FortiManager a partir de 3 dispositivos FortiGate. Com 3 ou mais appliances, o tempo gasto em configurações manuais, atualizações individuais e correção de inconsistências entre políticas já supera o custo e a complexidade de manter o FortiManager. Para uma única unidade, o FortiGate Cloud atende com menor custo e complexidade.
O FortiAnalyzer é obrigatório para usar o FortiGate?
Não. O FortiGate funciona de forma independente, com logs locais e o FortiView embutido. O FortiAnalyzer torna-se necessário quando a empresa precisa de retenção de logs por períodos longos (conformidade LGPD, PCI-DSS, ISO 27001), correlação de eventos entre múltiplos dispositivos, análise forense de incidentes ou relatórios executivos regulares de postura de segurança.
O que é Zero Touch Provisioning (ZTP) no FortiManager?
Zero Touch Provisioning (ZTP) é o recurso do FortiManager que permite instalar um novo FortiGate em uma filial remota sem nenhuma configuração local prévia. O aparelho é conectado à internet pela filial, faz contato com o FortiManager via FortiCloud ou DHCP Option 240/241, se autentica pelo número de série e recebe automaticamente toda a configuração, firmware e políticas pré-definidas. Nenhum técnico Fortinet precisa estar fisicamente na filial.
FortiAnalyzer substitui um SIEM?
Parcialmente. O FortiAnalyzer inclui funcionalidades SIEM nativas — coleta centralizada, correlação de eventos, alertas, dashboards SOC e relatórios de conformidade — pré-configuradas para o ecossistema Fortinet. Para organizações que operam exclusivamente com produtos Fortinet, pode substituir um SIEM de terceiros com menor custo e complexidade. Para ambientes heterogêneos com múltiplos fabricantes, o FortiSIEM ou um SIEM de mercado pode ser mais adequado.
FortiManager e FortiAnalyzer podem rodar como máquinas virtuais?
Sim. Ambos estão disponíveis como appliance físico, VM (VMware, Hyper-V, KVM, AWS, Azure, GCP) e como serviço cloud (FortiManager Cloud e FortiAnalyzer Cloud). A versão cloud tem SLA de disponibilidade de 99,9% e é especialmente indicada para empresas que querem eliminar a gestão de infraestrutura.