Salam dostlar! Sizi yeni FortiAnalyzer Başlanğıc kursumuzda salamlamaqdan məmnunuq. Əlbəttə Biz artıq FortiAnalyzer-in funksionallığına baxmışıq, lakin biz bunu olduqca səthi şəkildə keçirdik. İndi sizə bu məhsul haqqında, onun məqsədləri, məqsədləri və imkanları haqqında daha ətraflı danışmaq istəyirəm. Bu kurs əvvəlki kimi həcmli olmamalıdır, amma ümid edirəm ki, maraqlı və məlumatlı olacaq.
Dərs tamamilə nəzəri olduğundan, sizin rahatlığınız üçün onu məqalə formatında da təqdim etmək qərarına gəldik.
Bu kurs zamanı biz aşağıdakı məqamları əhatə edəcəyik:
- Məhsul, onun məqsədi, vəzifələri və əsas xüsusiyyətləri haqqında ümumi məlumat
- Gəlin plan hazırlayaq, hazırlıq zamanı FortiAnalyzer-in ilkin konfiqurasiyasına ətraflı nəzər salacağıq.
- Asan axtarış üçün jurnalların saxlanması, işlənməsi və süzülməsi mexanizmi ilə tanış olaq, həmçinin müxtəlif qrafiklər, diaqramlar və digər vidjetlər şəklində şəbəkənin vəziyyəti haqqında vizual məlumatları təqdim edən FortiView mexanizmini nəzərdən keçirək.
- Mövcud hesabatların yaradılması prosesinə baxaq, həmçinin öz hesabatlarınızı necə yaratmağı və mövcud hesabatları redaktə etməyi öyrənək.
- FortiAnalyzer administrasiyası ilə bağlı əsas məsələləri nəzərdən keçirək
- Lisenziyalaşdırma sxemini yenidən müzakirə edək - mən artıq kursun 11-ci dərsində bu barədə danışdım. , amma necə deyərlər, təkrar öyrənmə anasıdır.
FortiAnalyzer-in əsas məqsədi bir və ya bir neçə Fortinet qurğusundan logların mərkəzləşdirilmiş şəkildə saxlanması, həmçinin onların işlənməsi və təhlilidir. Bu, təhlükəsizlik administratorlarına müxtəlif şəbəkə və təhlükəsizlik hadisələrini bir yerdən izləməyə, jurnallardan və vidcetlərdən lazımi məlumatları tez əldə etməyə və bütün və ya xüsusi cihazlarda hesabatlar yaratmağa imkan verir.
FortiAnalyzer-in qeydləri qəbul edə və təhlil edə biləcəyi cihazların siyahısı aşağıdakı şəkildə təqdim olunur.
FortiAnalyzer üç əsas xüsusiyyətə malikdir: hesabat, xəbərdarlıq və arxivləşdirmə. Gəlin onların hər birinə nəzər salaq.
Hesabat - Hesabatlar şəbəkə hadisələrinin, təhlükəsizlik hadisələrinin və dəstəklənən cihazlarda baş verən müxtəlif fəaliyyətlərin vizual təqdimatını təmin edir. Hesabat mexanizmi mövcud jurnallardan lazımi məlumatları toplayır və onları oxumaq və təhlil etmək üçün asan bir formada təqdim edir. Hesabatlardan istifadə edərək cihazın performansı, şəbəkə təhlükəsizliyi, ən çox ziyarət edilən resurslar və s. haqqında lazımi məlumatları tez əldə edə bilərsiniz. Bir çox variant var. Hesabatlar uzun müddət ərzində şəbəkənin və dəstəklənən cihazların vəziyyətini təhlil etmək üçün də istifadə edilə bilər. Çox vaxt onlar müxtəlif təhlükəsizlik insidentlərini araşdırarkən əvəzolunmaz olurlar.
Xəbərdarlıqlar sizə şəbəkədə baş verən müxtəlif təhlükələrə tez cavab verməyə imkan verir. Sistem əvvəlcədən konfiqurasiya edilmiş şərtlərə cavab verən qeydlər görünəndə xəbərdarlıqlar yaradır - virusların aşkarlanması, müxtəlif zəifliklərin istismarı və s. Bu xəbərdarlıqları FortiAnalyzer veb-interfeysində görmək olar və siz onların SNMP protokolu vasitəsilə sistem log serverinə və həmçinin xüsusi e-poçt ünvanlarına göndərilməsini konfiqurasiya edə bilərsiniz.
Arxivləşdirmə sizə şəbəkə üzrə axan müxtəlif məzmunun surətlərini FortiAnalyzer-də saxlamağa imkan verir. Bu adətən DLP mühərriki ilə birlikdə mühərrikin müxtəlif qaydalarına daxil olan müxtəlif faylları saxlamaq üçün istifadə olunur. O, həmçinin müxtəlif təhlükəsizlik insidentlərini araşdırmaq üçün faydalı ola bilər.
Digər maraqlı xüsusiyyət inzibati domenlərdən istifadə etmək imkanıdır. Bu texnologiya müxtəlif meyarlara - cihaz növlərinə, coğrafi mövqeyə və s. Bu cür cihaz qruplarının yaradılması aşağıdakı məqsədlərə xidmət edir:
- Monitorinq və idarəetmənin asanlığı üçün cihazları oxşar xüsusiyyətlərə əsaslanan qruplaşdırma — məsələn, cihazlar coğrafi yerə görə qruplaşdırılır. Eyni qrupda yerləşən cihazlar üçün qeydlərdə bəzi məlumatları tapmaq lazımdır. Qeydləri diqqətlə süzgəcdən keçirmək əvəzinə, sadəcə olaraq tələb olunan inzibati domen üçün qeydlərə baxır və lazımi məlumatları axtarırsınız.
- İnzibati girişi fərqləndirmək üçün - hər bir inzibati domendə yalnız bu inzibati domenə çıxışı olan bir və ya bir neçə idarəçi ola bilər.
- Cihaz məlumatları üçün disk sahəsini və saxlama siyasətlərini səmərəli şəkildə idarə edin - Bütün cihazlar üçün vahid yaddaş konfiqurasiyası yaratmaq əvəzinə, inzibati domenlər ayrı-ayrı cihaz qrupları üçün daha uyğun konfiqurasiyalar təyin etməyə imkan verir. Bu, bir neçə cihazınız varsa faydalı ola bilər və bir qrup cihazdan bir il, digərindən isə 3 il məlumat saxlamaq lazımdır. Müvafiq olaraq, hər bir qrup üçün uyğun disk sahəsi ayıra bilərsiniz - çox sayda jurnal yaradan bir qrup üçün daha çox yer ayırın və başqa bir qrup üçün - daha az yer ayırın.
FortiAnalyzer iki rejimdə işləyə bilər - Analizator və Kollektor. İş rejimi fərdi tələblərdən və şəbəkə topologiyasından asılı olaraq seçilir.
FortiAnalyzer Analizator rejimində işlədikdə, bir və ya bir neçə jurnal kollektorundan olan qeydlərin əsas toplayıcısı kimi çıxış edir. Giriş kollektorları həm Kollektor rejimində FortiAnalyzer, həm də FortiAnalyzer tərəfindən dəstəklənən digər cihazlardır (onların siyahısı yuxarıda şəkildə göstərilmişdir). Bu iş rejimi standart olaraq istifadə olunur.
FortiAnalyzer Kollektor rejimində işlədikdə, o, digər cihazlardan qeydləri toplayır və sonra onları Analyzer və ya Syslog rejimində FortiAnalyzer kimi başqa cihaza yönləndirir. Kollektor rejimində FortiAnalyzer hesabat və xəbərdarlıq kimi əksər funksiyalardan istifadə edə bilməz, çünki onun əsas məqsədi qeydləri toplamaq və yönləndirməkdir.
Müxtəlif rejimlərdə çoxsaylı FortiAnalyzer cihazlarından istifadə məhsuldarlığı artıra bilər - Kollektor rejimində FortiAnalyzer bütün cihazlardan qeydləri toplayır və onları sonrakı təhlil üçün Analizatora göndərir ki, bu da Analizator rejimində FortiAnalyzer-ə birdən çox cihazdan jurnalların qəbuluna sərf olunan resurslara qənaət etməyə və bütün diqqətini ona yönəltməyə imkan verir. log emalı.
FortiAnalyzer giriş və hesabat üçün deklarativ SQL sorğu dilini dəstəkləyir. Onun köməyi ilə jurnallar oxunaqlı formada təqdim olunur. Həmçinin, bu sorğu dilindən istifadə edərək müxtəlif hesabatlar qurulur. Bəzi hesabat imkanları bəzi SQL və verilənlər bazası biliklərini tələb edir, lakin FortiAnalyzer-in daxili imkanları çox vaxt bu biliyi aradan qaldırır. Hesabat mexanizmini nəzərdən keçirdikdə bununla bir daha qarşılaşacağıq.
FortiAnalyzer özü bir neçə ləzzətlə gəlir. Bu, ayrı bir fiziki cihaz, virtual maşın ola bilər - müxtəlif hipervizorlar dəstəklənir, onların tam siyahısını tapa bilərsiniz . O, həmçinin ixtisaslaşmış infrastrukturlarda - AWS-də yerləşdirilə bilər. Azure, Google Cloud və s. Son seçim isə Fortinet tərəfindən təqdim edilən bulud xidməti olan FortiAnalyzer Cloud-dur.
Növbəti dərsdə sonrakı praktik iş üçün plan hazırlayacağıq. Onu qaçırmamaq üçün səhifəmizə abunə olun .
Siz həmçinin aşağıdakı resurslarda yeniləmələri izləyə bilərsiniz:
Mənbə: www.habr.com