Поздравления! Добре дошли в деветия урок от курса , за Разгледахме основните механизми за контролиране на достъпа на потребителите до различни ресурси. Сега имаме друга задача - трябва да анализираме поведението на потребителите в мрежата, както и да конфигурираме получаването на данни, които могат да помогнат при разследването на различни инциденти със сигурността. Затова в този урок ще разгледаме механизма за регистриране и докладване. За целта ще ни трябва FortiAnalyzer, който внедрихме в началото на курса. Необходимата теория, както и видео урок, са налични под разрез.
Във FotiGate дневниците са разделени на три типа: дневници на трафика, дневници на събития и дневници за сигурност. Те от своя страна се делят на подвидове.
Дневниците на трафика записват информация за потока на трафика, като заявки и отговори, ако има такива. Този тип съдържа подтиповете Forward, Local и Sniffer.
Подтипът Forward съдържа информация за трафика, който FortiGate е приел или отхвърлил въз основа на правилата на защитната стена.
Подтипът Local съдържа информация за трафика директно от IP адреса на FortiGate и от IP адресите, от които се извършва администрирането. Например връзки към уеб интерфейса на FortiGate.
Подтипът Sniffer съдържа регистрационни файлове на трафика, получен чрез дублиране на трафика.
Регистрите на събитията съдържат системни или административни събития, като добавяне или промяна на параметри, установяване и прекъсване на VPN тунели, събития за динамично маршрутизиране и т.н. Всички подтипове са представени на фигурата по-долу.
И третият тип са регистрационни файлове за сигурност. Тези регистрационни файлове записват събития, свързани с вирусни атаки, посещения на забранени ресурси, използване на забранени приложения и т.н. Пълният списък също е представен на фигурата по-долу.
Можете да съхранявате регистрационни файлове на различни места - както на самия FortiGate, така и извън него. Съхраняването на регистрационни файлове на FortiGate се счита за локално регистриране. В зависимост от самото устройство, регистрационните файлове могат да се съхраняват във флаш паметта на устройството или на твърдия диск. По правило моделите от средата имат твърд диск. Моделите с твърд диск се различават доста лесно - в края има модул. Например FortiGate 100E идва без твърд диск, а FortiGate 101E идва с твърд диск.
По-младите и по-старите модели обикновено нямат твърд диск. В този случай флаш паметта се използва за запис на регистрационни файлове. Въпреки това си струва да се има предвид, че постоянното записване на регистрационни файлове във флаш памет може да намали нейната ефективност и експлоатационен живот. Следователно записването на регистрационни файлове във флаш памет е деактивирано по подразбиране. Препоръчително е да го активирате само за регистриране на събития при решаване на конкретни проблеми.
При интензивно записване на регистрационни файлове, няма значение за твърдия диск или флаш паметта, производителността на устройството ще намалее.
Доста обичайно е да се съхраняват регистрационни файлове на отдалечени сървъри. FortiGate може да съхранява регистрационни файлове на Syslog сървъри, FortiAnalyzer или FortiManager. Можете също да използвате облачната услуга FortiCloud за съхраняване на регистрационни файлове.
Syslog е сървър за централно съхраняване на регистрационни файлове от мрежови устройства.
FortiCloud е базирана на абонамент услуга за управление на сигурността и съхранение на регистрационни файлове. С негова помощ можете дистанционно да съхранявате регистрационни файлове и да създавате подходящи отчети. Ако имате сравнително малка мрежа, добро решение може да бъде да използвате тази облачна услуга, вместо да купувате допълнително оборудване. Има безплатна версия на FortiCloud, която включва седмично съхранение на регистрационни файлове. След закупуване на абонамент регистрационните файлове могат да се съхраняват за една година.
FortiAnalyzer и FortiManager са външни устройства за съхранение на журнали. Поради факта, че всички имат една и съща операционна система - FortiOS - интеграцията на FortiGate с тези устройства не създава никакви затруднения.
Има обаче разлики, които трябва да се отбележат между устройствата FortiAnalyzer и FortiManager. Основната цел на FortiManager е централизирано управление на множество устройства FortiGate - следователно количеството памет за съхраняване на регистрационни файлове на FortiManager е значително по-малко, отколкото на FortiAnalyzer (ако, разбира се, сравняваме модели от същия ценови сегмент).
Основната цел на FortiAnalyzer е именно да събира и анализира логове. Затова ще разгледаме допълнително работата с него на практика.
Цялата теория, както и практическата част, са представени в този видео урок:
В следващия урок ще разгледаме основите на администрирането на единица FortiGate. За да не го пропуснете, следете актуализациите на следните канали:
Източник: www.habr.com