Здравствуйте, друзья! Мы рады вас приветствовать на нашем новом курсе FortiAnalyzer Getting Started. На курсе Fortinet Getting Started мы уже рассматривали функционал FortiAnalyzer, но прошлись по нему довольно поверхностно. Сейчас я хочу более подробно рассказать про этот продукт, про его цели, задачи и возможности. Данный курс должен получиться не таким объемным, как прошлый, но я надеюсь, что он будет интересным и познавательным.
Поскольку урок получился полностью теоретическим, для вашего удобства мы решили представить его также в формате статьи.
В ходе данного курса мы рассмотрим следующие моменты:
Общие сведения о продукте, его назначение, решаемые задачи и ключевые особенности
Подготовим макет, в ходе подготовки подробно рассмотрим начальную конфигурацию FortiAnalyzer
Познакомимся с механизмом хранения, обработки и фильтрации логов для их удобного поиска, а также рассмотрим механизм FortiView, который представляет наглядную информацию о состоянии сети в виде различных графиков, диаграмм и других виджетов
Рассмотрим процесс создания существующих отчетов, а также научимся создавать собственные отчеты и редактировать существующие отчеты
Пройдемся по основным вопросам, связанным с администрированием FortiAnalyzer’а
Еще раз обсудим схему лицензирования — я уже рассказывал про нее в 11 уроке курса Fortinet Getting Started, но, как говорится, повторение — мать учения.
Основное предназначение FortiAnalyzer — централизованное хранение логов с одного или нескольких устройств компании Fortinet, а также их обработка и анализ. Это позволяет администраторам безопасности следить за различными сетевым событиями и событиями безопасности из одного места, быстро получать необходимую информацию из логов и виджетов, а также строить отчеты по всем или интересующим устройствам.
Список устройств, с которых FortiAnalyzer может принимать логи и анализировать их, представлен на рисунке ниже.
У FortiAnalyzer выделяют три ключевые особенности — отчетность, оповещения, архивация. Рассмотрим каждую из них.
Отчетность — отчеты обеспечивают наглядное представление сетевых событий, событий безопасности, различных активностей, происходящих на поддерживаемых устройствах. Механизм отчетности собирает необходимые данные из имеющихся логов и представляет их в удобном для чтения и анализа виде. С помощью отчетов можно быстро получить необходимую информацию о производительности устройств, безопасности сети, наиболее посещаемых ресурсах, и так далее. Вариантов очень много. Также отчеты можно использовать для анализа состояния сети и поддерживаемых устройств в период длительного времени. Довольно часто они бывают незаменимы при расследовании различных инцидентов безопасности.
Оповещения позволяют быстро реагировать на различные угрозы, происходящие в сети. Система генерирует оповещения, когда появляются логи, удовлетворяющие заранее сконфигурированным условиям — обнаружение вируса, эксплуатация различных уязвимостей и так далее. Данные оповещения можно увидеть в веб интерфейсе FortiAnalyzer, а также настроить их отправку по протоколу SNMP, на syslog сервер, а также на определенные email адреса.
Архивация позволяет сохранять на FortiAnalyzer копии различного контента, проходящего по сети. Обычно это используется в совокупности с механизмом DLP для хранения различных файлов, попадающих под различные правила данного механизма. Это также может быть полезным для расследования различных инцидентов безопасности.
Еще одна интересная особенность — возможность использования административных доменов. Эта технология позволяет создавать группы устройств по различным признакам — типы устройств, географическое положение и так далее. Создание таких групп устройств преследует следующие цели:
Группировка устройств по схожим признакам для удобства мониторинга и управления — допустим, устройства сгруппированы по географическому положению. Вам необходимо найти какую-либо информацию в логах по устройствам, находящимся в одной группе. Вместо того, чтобы тщательно отфильтровывать логи, вы просто смотрите логи по необходимому административному домену и ищете необходимую информацию.
Для разграничения административного доступа — у каждого административного домена может быть один или несколько администраторов, которые имеют доступ только к данному административному домену
Эффективное управление дисковым пространством и политиками хранения получаемых с устройств данных — вместо того, чтобы создавать единую конфигурацию хранения данных для всех устройств, административные домены позволяют устанавливать более подходящие конфигурации для отдельных групп устройств. Это может быть полезно в том случае, если у вас несколько устройств, и с одной группы устройств вам необходимо хранить данные год, а с другой — 3 года. Соответственно, под каждую группу можно выделить подходящее дисковое пространство — для группы, генерирующей большое число логов, выделить больше места, а для другой группы — меньше места.
FortiAnalyzer может работать в двух режимах — Analyzer и Collector. Режим работы выбирается в зависимости от индивидуальных требований и топологии сети.
Когда FortiAnalyzer работает в режиме Analyzer, он выступает в качестве основного агрегатора логов с одного или нескольких сборщиков логов. Сборщиками логов являются как FortiAnalyzer в режиме Collector, так и другие устройства, которые поддерживаются FortiAnalyzer (их список был приведен выше на рисунке). Данный режим работы используется по умолчанию.
Когда FortiAnalyzer работает в режиме Collector, он собирает логи с других устройств и затем пересылает их на другое устройство, такое как FortiAnalyzer в режиме Analyzer или Syslog. В режиме Collector FortiAnalyzer не может использовать большинство функций, такие как отчетность и оповещения, поскольку его главная цель — собирать и пересылать логи.
Используя несколько устройств FortiAnalyzer в различных режимах можно увеличить производительность — FortiAnalyzer в режиме Collector собирает логи со всех устройств, и пересылает их на Analyzer для последующего анализа, что позволяет FortiAnalyzer в режиме Analyzer экономить ресурсы, затрачиваемые на прием логов с множества устройств и полностью сосредоточиться на обработке логов.
FortiAnalyzer поддерживает декларативный язык запросов SQL для логирования и отчетности. С его помощью логи представляются в читабельном виде. Также с помощью данного языка запросов строятся различные отчеты. Для некоторых возможностей отчетности требуются определенные знания SQL и баз данных, но часто встроенные возможности FortiAnalyzer позволяют обойтись без данных знаний. Мы еще столкнемся с этим, когда будем рассматривать механизм отчетности.
Сам FortiAnalyzer может быть представлен в нескольких вариантах. Это может быть отдельное физическое устройство, виртуальная машина — поддерживаются разные гипервизоры, их полный перечень можно найти в даташите. Также он может быть развернут в специализированных инфраструктурах — AWS. Azure, Google Cloud и в прочих. И последний вариант — FortiAnalyzer Cloud — облачный сервис, предоставляемый компанией Fortinet.
На следующем уроке мы подготовим макет для дальнейших практических работ. Чтобы не пропустить его подписывайтесь на наш Youtube канал.
Также можете следить за обновлениями на следующих ресурсах: