مرحبا يا اصدقاء! نرحب بكم في دورتنا التدريبية الجديدة FortiAnalyzer Getting Started. في الحصة لقد نظرنا بالفعل في وظيفة FortiAnalyzer ، لكننا مررنا بها بشكل سطحي إلى حد ما. الآن أريد أن أخبركم المزيد عن هذا المنتج ، عن أهدافه ، وأهدافه وقدراته. لا ينبغي أن تكون هذه الدورة التدريبية ضخمة مثل الدورة السابقة ، لكنني آمل أن تكون ممتعة وغنية بالمعلومات.
نظرًا لأن الدرس كان نظريًا تمامًا ، من أجل راحتك ، قررنا تقديمه أيضًا في شكل مقال.
خلال هذه الدورة ، سوف نغطي النقاط التالية:
- معلومات عامة عن المنتج والغرض منه والمهام والميزات الرئيسية
- لنعد التخطيط ، أثناء الإعداد ، سننظر بالتفصيل في التكوين الأولي لـ FortiAnalyzer
- دعنا نتعرف على آلية تخزين السجلات ومعالجتها وتصفيتها لسهولة البحث عنها ، وننظر أيضًا في آلية FortiView ، التي تقدم معلومات مرئية حول حالة الشبكة في شكل رسوم بيانية ومخططات وعناصر واجهة أخرى مختلفة
- ضع في اعتبارك عملية إنشاء التقارير الحالية ، وكذلك تعلم كيفية إنشاء التقارير الخاصة بك وتحرير التقارير الموجودة
- دعنا ننتقل إلى القضايا الرئيسية المتعلقة بإدارة FortiAnalyzer
- دعنا نناقش مخطط الترخيص مرة أخرى - لقد تحدثت عنه بالفعل في الدرس 11 من الدورة ولكن ، كما يقولون ، التكرار هو أم التعلم.
الغرض الرئيسي من FortiAnalyzer هو التخزين المركزي للسجلات من واحد أو أكثر من أجهزة Fortinet ، بالإضافة إلى معالجتها وتحليلها. يسمح ذلك لمسؤولي الأمن بتتبع مختلف أحداث الشبكة والأمان من مكان واحد ، والحصول بسرعة على المعلومات الضرورية من السجلات وعناصر واجهة المستخدم ، وإنشاء تقارير على جميع الأجهزة أو الأجهزة محل الاهتمام.
يتم عرض قائمة الأجهزة التي يمكن من خلالها لـ FortiAnalyzer تلقي السجلات وتحليلها في الشكل أدناه.
يحتوي FortiAnalyzer على ثلاث ميزات رئيسية - إعداد التقارير والتنبيهات والأرشفة. دعونا نفكر في كل منهم.
إعداد التقارير - توفر التقارير تمثيلاً مرئيًا لأحداث الشبكة وأحداث الأمان والأنشطة المختلفة التي تحدث على الأجهزة المدعومة. تقوم آلية إعداد التقارير بجمع البيانات الضرورية من السجلات المتاحة وتقديمها في نموذج يسهل قراءته وتحليله. بمساعدة التقارير ، يمكنك الحصول بسرعة على المعلومات الضرورية حول أداء الجهاز وأمان الشبكة والموارد الأكثر زيارة وما إلى ذلك. هناك الكثير من الخيارات. يمكن أيضًا استخدام التقارير لتحليل حالة الشبكة والأجهزة المدعومة على مدار فترة زمنية طويلة. في كثير من الأحيان ، لا غنى عنها في التحقيق في الحوادث الأمنية المختلفة.
تتيح لك التنبيهات الاستجابة السريعة للتهديدات المختلفة التي تحدث على الشبكة. يُنشئ النظام تنبيهات عندما تظهر السجلات التي تفي بالشروط التي تم تكوينها مسبقًا - اكتشاف الفيروسات ، واستغلال نقاط الضعف المختلفة ، وما إلى ذلك. يمكن عرض هذه التنبيهات في واجهة الويب FortiAnalyzer ، بالإضافة إلى تهيئتها لإرسالها عبر SNMP ، إلى خادم سجل النظام ، وإلى عناوين بريد إلكتروني محددة.
تسمح الأرشفة لـ FortiAnalyzer بتخزين نسخ من مختلف المحتويات التي تمر عبر الشبكة. يستخدم هذا عادةً مع آلية DLP لتخزين ملفات مختلفة تندرج تحت القواعد المختلفة لهذه الآلية. يمكن أن يكون مفيدًا أيضًا للتحقيق في الحوادث الأمنية المختلفة.
ميزة أخرى مثيرة للاهتمام هي القدرة على استخدام المجالات الإدارية. تتيح لك هذه التقنية إنشاء مجموعات من الأجهزة وفقًا لمعايير مختلفة - أنواع الأجهزة والموقع الجغرافي وما إلى ذلك. يهدف إنشاء مجموعات الأجهزة هذه إلى تحقيق الأهداف التالية:
- تجميع الأجهزة حسب معايير متشابهة لسهولة المراقبة والإدارة - لنفترض أن الأجهزة مجمعة حسب الموقع الجغرافي. تحتاج إلى العثور على بعض المعلومات في سجلات الأجهزة الموجودة في نفس المجموعة. بدلاً من تصفية السجلات بعناية ، ما عليك سوى إلقاء نظرة على السجلات الخاصة بالمجال الإداري المطلوب والبحث عن المعلومات التي تحتاجها.
- للتمييز بين الوصول الإداري - يمكن أن يكون لكل مجال إداري واحد أو أكثر من المسؤولين الذين لديهم حق الوصول فقط إلى هذا المجال الإداري
- إدارة مساحة القرص وسياسات تخزين الجهاز بكفاءة - بدلاً من إنشاء تكوين تخزين فردي لجميع الأجهزة ، تتيح لك المجالات الإدارية تعيين تكوينات أكثر ملاءمة لمجموعات فردية من الأجهزة. يمكن أن يكون هذا مفيدًا إذا كان لديك عدة أجهزة ، وتحتاج إلى تخزين البيانات من مجموعة واحدة من الأجهزة لمدة عام ، ومن مجموعة أخرى - 3 سنوات. وفقًا لذلك ، يمكن تخصيص مساحة قرص مناسبة لكل مجموعة - يمكن تخصيص مساحة أكبر لمجموعة تنشئ عددًا كبيرًا من السجلات ومساحة أقل لمجموعة أخرى.
يمكن أن يعمل FortiAnalyzer في وضعين - المحلل والمجمع. يتم تحديد وضع التشغيل وفقًا للمتطلبات الفردية وطوبولوجيا الشبكة.
عند التشغيل في وضع Analyzer ، يعمل FortiAnalyzer كمجمع رئيسي للسجلات من واحد أو أكثر من مُجمِّعي السجلات. جامعي السجلات هم FortiAnalyzer في وضع المجمع والأجهزة الأخرى التي يدعمها FortiAnalyzer (تم ذكر قائمتهم أعلاه في الشكل). يتم استخدام وضع التشغيل هذا بشكل افتراضي.
عندما يعمل FortiAnalyzer في وضع Collector ، فإنه يجمع السجلات من الأجهزة الأخرى ثم يعيد توجيهها إلى جهاز آخر ، مثل FortiAnalyzer في وضع Analyzer أو Syslog. في وضع المُجمع ، لا يمكن لـ FortiAnalyzer استخدام معظم الميزات مثل الإبلاغ والتنبيهات لأن الغرض الرئيسي منه هو جمع السجلات وإعادة توجيهها.
يمكن أن يؤدي استخدام أجهزة FortiAnalyzer المتعددة في أوضاع مختلفة إلى زيادة الأداء - يقوم FortiAnalyzer في وضع Collector بجمع السجلات من جميع الأجهزة وإرسالها إلى Analyzer لمزيد من التحليل ، مما يسمح لـ FortiAnalyzer في وضع Analyzer لتوفير الموارد التي يتم إنفاقها على تلقي السجلات من أجهزة متعددة والتركيز بشكل كامل على معالجة السجل.
يدعم FortiAnalyzer لغة استعلام SQL التعريفية للتسجيل وإعداد التقارير. مع ذلك ، يتم تقديم السجلات في شكل مقروء. أيضًا ، باستخدام لغة الاستعلام هذه ، يتم إنشاء تقارير مختلفة. تتطلب بعض قدرات إعداد التقارير بعض المعرفة بـ SQL وقواعد البيانات ، ولكن غالبًا ما تجعل الإمكانات المضمنة في FortiAnalyzer من الممكن تجاوز هذه المعرفة. سنصادف هذا مرة أخرى عندما ننظر إلى آلية الإبلاغ.
يمكن تقديم FortiAnalyzer في عدة إصدارات. يمكن أن يكون جهازًا ماديًا منفصلاً ، جهازًا افتراضيًا - يتم دعم برامج Hypervisor المختلفة ، ويمكن العثور على قائمتهم الكاملة في . يمكن أيضًا نشرها في البنى التحتية المتخصصة - AWS. Azure و Google Cloud وغيرها. والخيار الأخير هو FortiAnalyzer Cloud ، وهي خدمة سحابية تقدمها Fortinet.
في الدرس التالي ، سنقوم بإعداد مخطط لمزيد من العمل العملي. اشترك في موقعنا .
يمكنك أيضًا متابعة التحديثات على الموارد التالية:
المصدر: www.habr.com