Добры дзень, сябры! Мы рады вас вітаць на нашым новым курсе FortiAnalyzer Getting Started. На курсе мы ўжо разглядалі функцыянал FortiAnalyzer, але прайшліся па ім даволі павярхоўна. Цяпер я хачу больш падрабязна расказаць пра гэты прадукт, пра яго мэты, задачы і магчымасці. Гэты курс павінен атрымацца не такім аб'ёмным, як мінулы, але я спадзяюся, што ён будзе цікавым і пазнавальным.
Паколькі ўрок атрымаўся цалкам тэарэтычным, для вашай зручнасці мы вырашылі прадставіць яго таксама ў фармаце артыкула.
У ходзе дадзенага курса мы разгледзім наступныя моманты:
- Агульныя звесткі аб прадукце, яго прызначэнне, задачы, якія вырашаюцца, і ключавыя асаблівасці
- Падрыхтуем макет, падчас падрыхтоўкі падрабязна разгледзім пачатковую канфігурацыю FortiAnalyzer
- Пазнаёмімся з механізмам захоўвання, апрацоўкі і фільтрацыі логаў для іх зручнага пошуку, а таксама разгледзім механізм FortiView, які прадстаўляе наглядную інфармацыю аб стане сеткі ў выглядзе розных графікаў, дыяграм і іншых віджэтаў.
- Разгледзім працэс стварэння існуючых справаздач, а таксама навучымся ствараць уласныя справаздачы і рэдагаваць існуючыя справаздачы
- Пройдземся па асноўных пытаннях, звязаных з адміністраваннем FortiAnalyzer'а
- Яшчэ раз абмяркуем схему ліцэнзавання - я ўжо распавядаў пра яе ў 11 уроку курса , але, як гаворыцца, паўтарэнне - маці вучэння.
Асноўнае прызначэнне FortiAnalyzer - цэнтралізаванае захоўванне логаў з аднаго або некалькіх прылад кампаніі Fortinet, а таксама іх апрацоўка і аналіз. Гэта дазваляе адміністратарам бяспекі сачыць за рознымі сеткавым падзеямі і падзеямі бяспекі з аднаго месца, хутка атрымліваць неабходную інфармацыю з логаў і віджэтаў, а таксама будаваць справаздачы па ўсіх ці якія цікавяць прыладам.
Спіс прылад, з якіх FortiAnalyzer можа прымаць логі і аналізаваць іх, прадстаўлены на малюнку ніжэй.
У FortiAnalyzer вылучаюць тры ключавыя асаблівасці - справаздачнасць, абвесткі, архівацыя. Разгледзім кожную з іх.
Справаздачнасць - справаздачы забяспечваюць нагляднае ўяўленне сеткавых падзей, падзей бяспекі, розных актыўнасцяў, якія адбываюцца на падтрымоўваных прыладах. Механізм справаздачнасці збірае неабходныя дадзеныя з наяўных логаў і прадстаўляе іх у зручным для чытання і аналізу выглядзе. З дапамогай справаздач можна хутка атрымаць неабходную інфармацыю аб прадукцыйнасці прылад, бяспецы сеткі, найболей наведвальных рэсурсах, і гэтак далей. Варыянтаў вельмі шмат. Таксама справаздачы можна выкарыстоўваць для аналізу стану сеткі і падтрымоўваных прылад у перыяд працяглага часу. Даволі часта яны бываюць незаменныя пры расследаванні розных інцыдэнтаў бяспекі.
Абвесткі дазваляюць хутка рэагаваць на розныя пагрозы, якія адбываюцца ў сетцы. Сістэма генеруе абвесткі, калі з'яўляюцца логі, якія задавальняюць загадзя сканфігураваным умовам – выяўленне віруса, эксплуатацыя розных уразлівасцяў і гэтак далей. Дадзеныя абвесткі можна ўбачыць у вэб інтэрфейсе FortiAnalyzer, а таксама наладзіць іх адпраўку па пратаколе SNMP, на syslog сервер, а таксама на пэўныя email адрасы.
Архівацыя дазваляе захоўваць на FortiAnalyzer копіі рознага кантэнту, які праходзіць па сетцы. Звычайна гэта выкарыстоўваецца ў сукупнасці з механізмам DLP для захоўвання розных файлаў, якія трапляюць пад розныя правілы дадзенага механізма. Гэта таксама можа быць карысным для расследавання розных інцыдэнтаў бяспекі.
Яшчэ адна цікавая асаблівасць - магчымасць выкарыстання адміністрацыйных даменаў. Гэтая тэхналогія дазваляе ствараць групы прылад па розных прыкметах - тыпы прылад, геаграфічнае становішча і гэтак далей. Стварэнне такіх груп прылад мае наступныя мэты:
- Групоўка прылад па падобных прыкметах для выгоды маніторынгу і кіравання – дапусцім, прылады згрупаваны па геаграфічным становішчы. Вам неабходна знайсці якую-небудзь інфармацыю ў логах па прыладам, якія знаходзяцца ў адной групе. Замест таго, каб старанна адфільтроўваць логі, вы проста гледзіце логі па неабходным адміністрацыйным дамене і шукаеце неабходную інфармацыю.
- Для размежавання адміністрацыйнага доступу - у кожнага адміністрацыйнага дамена можа быць адзін або некалькі адміністратараў, якія маюць доступ толькі да дадзенага адміністрацыйнага дамену.
- Эфектыўнае кіраванне дыскавай прасторай і палітыкамі захоўвання атрымоўваных з прылад дадзеных – замест таго, каб ствараць адзіную канфігурацыю захоўвання дадзеных для ўсіх прылад, адміністрацыйныя дамены дазваляюць усталёўваць больш прыдатныя канфігурацыі для асобных груп прылад. Гэта можа быць карысна ў тым выпадку, калі ў вас некалькі прылад, і з адной групы прылад вам неабходна захоўваць дадзеныя год, а з іншай - 3 гады. Адпаведна, пад кожную групу можна вылучыць падыходную дыскавую прастору - для групы, якая генеруе вялікі лік логаў, вылучыць больш месцы, а для іншай групы - менш месцы.
FortiAnalyzer можа працаваць у двух рэжымах – Analyzer і Collector. Рэжым працы выбіраецца ў залежнасці ад індывідуальных патрабаванняў і тапалогіі сеткі.
Калі FortiAnalyzer працуе ў рэжыме Analyzer, ён выступае ў якасці асноўнага агрэгатара логаў з аднаго ці некалькіх зборшчыкаў логаў. Зборшчыкамі логаў з'яўляюцца як FortiAnalyzer у рэжыме Collector, так і іншыя прылады, якія падтрымліваюцца FortiAnalyzer (іх спіс быў прыведзены вышэй на малюнку). Дадзены рэжым працы выкарыстоўваецца па змаўчанні.
Калі FortiAnalyzer працуе ў рэжыме Collector, ён збірае логі з іншых прылад і затым перасылае іх на іншую прыладу, такое як FortiAnalyzer у рэжыме Analyzer або Syslog. У рэжыме Collector FortiAnalyzer не можа выкарыстоўваць большасць функцый, такія як справаздачнасць і абвесткі, паколькі яго галоўная мэта - збіраць і перасылаць логі.
Выкарыстоўваючы некалькі прылад FortiAnalyzer у розных рэжымах можна павялічыць прадукцыйнасць — FortiAnalyzer у рэжыме Collector збірае логі са ўсіх прылад, і перасылае іх на Analyzer для наступнага аналізу, што дазваляе FortiAnalyzer у рэжыме Analyzer эканоміць рэсурсы, якія выдаткоўваюцца на прыём логаў з мноства апрацоўцы логаў.
FortiAnalyzer падтрымлівае дэкларатыўны мову запытаў SQL для лагавання і справаздачнасці. З яго дапамогай логі прадстаўляюцца ў чытэльным выглядзе. Таксама з дапамогай дадзенай мовы запытаў будуюцца разнастайныя справаздачы. Для некаторых магчымасцяў справаздачнасці патрабуюцца вызначаныя веды SQL і баз дадзеных, але часта ўбудаваныя магчымасці FortiAnalyzer дазваляюць абыйсціся без дадзеных ведаў. Мы яшчэ сутыкнемся з гэтым, калі будзем разглядаць механізм справаздачнасці.
Сам FortiAnalyzer можа быць прадстаўлены ў некалькіх варыянтах. Гэта можа быць асобная фізічная прылада, віртуальная машына - падтрымліваюцца розныя гіпервізары, іх поўны пералік можна знайсці ў . Таксама ён можа быць разгорнуты ў спецыялізаваных інфраструктурах – AWS. Azure, Google Cloud і ў іншых. І апошні варыянт – FortiAnalyzer Cloud – хмарны сэрвіс, які прадстаўляецца кампаніяй Fortinet.
На наступным уроку мы падрыхтуем макет для далейшых практычных прац. Каб не прапусціць яго падпісвайцеся на наш .
Таксама можаце сачыць за абнаўленнямі на наступных рэсурсах:
Крыніца: habr.com