Hallo vriende! Ons verwelkom jou by ons nuwe FortiAnalyzer Getting Started-kursus. Op koers ons het reeds die funksionaliteit van FortiAnalyzer oorweeg, maar het taamlik oppervlakkig daardeur gestap. Nou wil ek jou meer vertel oor hierdie produk, oor sy doelwitte, doelwitte en vermoëns. Hierdie kursus behoort nie so lywig soos die vorige een te wees nie, maar ek hoop dat dit interessant en leersaam sal wees.
Aangesien die les heeltemal teoreties blyk te wees, het ons vir u gerief besluit om dit ook in die formaat van 'n artikel aan te bied.
Tydens hierdie kursus sal ons die volgende punte dek:
- Algemene inligting oor die produk, sy doel, take en sleutelkenmerke
- Kom ons berei die uitleg voor, tydens die voorbereiding sal ons die aanvanklike konfigurasie van FortiAnalyzer in detail oorweeg
- Kom ons maak kennis met die meganisme vir die stoor, verwerking en filter van logboeke vir hul maklike soektog, en oorweeg ook die FortiView-meganisme, wat visuele inligting oor die toestand van die netwerk in die vorm van verskeie grafieke, kaarte en ander widgets aanbied.
- Oorweeg die proses om bestaande verslae te skep, asook leer hoe om jou eie verslae te skep en bestaande verslae te wysig
- Kom ons gaan deur die hoofkwessies wat verband hou met die administrasie van FortiAnalyzer
- Kom ons bespreek weer die lisensieskema – ek het reeds in les 11 van die kursus daaroor gepraat maar, soos hulle sê, herhaling is die moeder van leer.
Die hoofdoel van FortiAnalyzer is die gesentraliseerde berging van logs vanaf een of meer Fortinet-toestelle, sowel as die verwerking en ontleding daarvan. Dit stel sekuriteitsadministrateurs in staat om vanaf een plek tred te hou met verskeie netwerk- en sekuriteitsgebeurtenisse, vinnig die nodige inligting uit logs en legstukke te kry, en verslae op alle of toestelle van belang te bou.
Die lys toestelle waarvan FortiAnalyzer logs kan ontvang en dit kan ontleed, word in die onderstaande figuur getoon.
FortiAnalyzer het drie sleutelkenmerke - verslagdoening, waarskuwings, argivering. Kom ons kyk na elkeen van hulle.
Verslagdoening - Verslae bied 'n visuele voorstelling van netwerkgebeurtenisse, sekuriteitsgebeurtenisse, verskeie aktiwiteite wat op ondersteunde toestelle plaasvind. Die verslagdoeningsmeganisme versamel die nodige data uit die beskikbare logboeke en bied dit aan in 'n vorm wat maklik is om te lees en te ontleed. Met behulp van verslae kan jy vinnig die nodige inligting kry oor toestelwerkverrigting, netwerksekuriteit, hulpbronne wat die meeste besoek word, ensovoorts. Daar is baie opsies. Verslae kan ook gebruik word om die status van die netwerk en ondersteunde toestelle oor 'n lang tydperk te ontleed. Hulle is dikwels onontbeerlik in die ondersoek van verskeie veiligheidsvoorvalle.
Waarskuwings laat jou toe om vinnig te reageer op verskeie bedreigings wat op die netwerk voorkom. Die stelsel genereer waarskuwings wanneer logs verskyn wat voldoen aan vooraf gekonfigureerde voorwaardes - virusopsporing, uitbuiting van verskeie kwesbaarhede, ensovoorts. Hierdie waarskuwings kan in die FortiAnalyzer-webkoppelvlak bekyk word, sowel as gekonfigureer word om dit via SNMP, na 'n syslog-bediener en na spesifieke e-posadresse te stuur.
Argiveering stel FortiAnalyzer in staat om kopieë van verskeie inhoud wat deur die netwerk gaan, te stoor. Dit word gewoonlik saam met die DLP-meganisme gebruik om verskillende lêers te stoor wat onder die verskillende reëls van hierdie meganisme val. Dit kan ook nuttig wees om verskeie sekuriteitsinsidente te ondersoek.
Nog 'n interessante kenmerk is die vermoë om administratiewe domeine te gebruik. Hierdie tegnologie laat jou toe om groepe toestelle te skep volgens verskeie kriteria - toesteltipes, geografiese ligging, ensovoorts. Die skepping van sulke toestelgroepe het die volgende doelwitte:
- Groepeer toestelle volgens soortgelyke kriteria vir maklike monitering en bestuur - kom ons sê toestelle word volgens geografiese ligging gegroepeer. Jy moet inligting in die logboeke vind vir toestelle wat in dieselfde groep is. In plaas daarvan om die logs noukeurig te filtreer, kyk jy bloot na die logs vir die vereiste administratiewe domein en soek die inligting wat jy nodig het.
- Om administratiewe toegang te onderskei - elke administratiewe domein kan een of meer administrateurs hê wat slegs toegang tot hierdie administratiewe domein het
- Bestuur skyfspasie en toestelbergingsbeleide doeltreffend - In plaas daarvan om 'n enkele bergingkonfigurasie vir alle toestelle te skep, laat administratiewe domeine jou toe om meer gepaste konfigurasies vir individuele groepe toestelle te stel. Dit kan nuttig wees as jy verskeie toestelle het, en jy moet data van een groep toestelle vir 'n jaar stoor, en van 'n ander groep vir 3 jaar. Gevolglik kan 'n geskikte skyfspasie vir elke groep toegewys word - meer spasie kan toegeken word vir 'n groep wat 'n groot aantal logs genereer, en minder spasie vir 'n ander groep.
FortiAnalyzer kan in twee modusse werk - ontleder en versamelaar. Die bedryfsmodus word gekies na gelang van individuele vereistes en die netwerktopologie.
Wanneer dit in die ontleder-modus loop, tree FortiAnalyzer op as die hoof log-aggregator van een of meer log-versamelaars. Log-versamelaars is beide FortiAnalyzer in Collector-modus en ander toestelle wat deur FortiAnalyzer ondersteun word (hul lys is hierbo in die figuur gegee). Hierdie modus van werking word by verstek gebruik.
Wanneer die FortiAnalyzer in Collector-modus loop, versamel dit logs van ander toestelle en stuur dit dan aan na 'n ander toestel, soos 'n FortiAnalyzer in Analyzer- of Syslog-modus. In die versamelaarmodus kan die FortiAnalyzer nie die meeste kenmerke soos verslagdoening en waarskuwings gebruik nie, want sy hoofdoel is om logs te versamel en aan te stuur.
Die gebruik van veelvuldige FortiAnalyzer-toestelle in verskillende modusse kan werkverrigting verhoog - FortiAnalyzer in Collector-modus versamel logs van alle toestelle en stuur dit na die Analyzer vir verdere ontleding, wat FortiAnalyzer in Analyzer-modus in staat stel om hulpbronne te bespaar wat spandeer word om logs van verskeie toestelle te ontvang en ten volle te fokus op log verwerking.
FortiAnalyzer ondersteun verklarende SQL-navraagtaal vir aanteken en verslagdoening. Daarmee word die logs in 'n leesbare vorm aangebied. Met behulp van hierdie navraagtaal word ook verskeie verslae gebou. Sommige verslagdoeningsvermoëns vereis 'n mate van kennis van SQL en databasisse, maar dikwels maak FortiAnalyzer se ingeboude vermoëns dit moontlik om hierdie kennis te omseil. Ons sal dit weer teëkom wanneer ons na die rapporteringsmeganisme kyk.
FortiAnalyzer self kan in verskeie weergawes aangebied word. Dit kan 'n aparte fisiese toestel, 'n virtuele masjien wees - verskillende hipervisors word ondersteun, hul volledige lys kan gevind word in . Dit kan ook in gespesialiseerde infrastruktuur ontplooi word - AWS. Azure, Google Cloud en ander. En die laaste opsie is FortiAnalyzer Cloud, 'n wolkdiens wat deur Fortinet verskaf word.
In die volgende les sal ons 'n uitleg voorberei vir verdere praktiese werk. Teken in op ons .
U kan ook die opdaterings oor die volgende hulpbronne volg:
Bron: will.com