Pozdrav! Dobrodošli na devetu lekciju kursa ... Uključeno Razmotrili smo osnovne mehanizme za kontrolu pristupa korisnika raznim resursima. Sada imamo još jedan zadatak - trebamo analizirati ponašanje korisnika na mreži, a također i konfigurirati prijem podataka koji mogu pomoći u istrazi raznih sigurnosnih incidenata. Stoga ćemo u ovoj lekciji pogledati mehanizam evidentiranja i izvještavanja. Za to će nam trebati FortiAnalyzer, koji smo postavili na početku kursa. Potrebna teorija, kao i video lekcija, dostupni su ispod reza.
U FotiGate-u, dnevnici su podijeljeni u tri tipa: prometne evidencije, evidencije događaja i sigurnosne evidencije. Oni su, pak, podijeljeni u podvrste.
Dnevnici saobraćaja bilježe informacije o prometu kao što su zahtjevi i odgovori, ako ih ima. Ovaj tip sadrži podtipove Forward, Local i Sniffer.
Podtip Forward sadrži informacije o saobraćaju koji je FortiGate ili prihvatio ili odbio na osnovu politika zaštitnog zida.
Lokalni podtip sadrži informacije o prometu direktno sa FortiGate IP adrese i sa IP adresa sa kojih se vrši administracija. Na primjer, veze na FortiGate web sučelje.
Podtip Njuškalo sadrži zapisnike prometa koji je dobiven korištenjem zrcaljenja prometa.
Dnevnici događaja sadrže sistemske ili administrativne događaje, kao što su dodavanje ili promjena parametara, uspostavljanje i razbijanje VPN tunela, dinamički događaji usmjeravanja itd. Svi podtipovi su prikazani na donjoj slici.
I treći tip su sigurnosni dnevniki. Ovi zapisnici bilježe događaje vezane za napade virusa, posjete zabranjenim resursima, korištenje zabranjenih aplikacija itd. Potpuna lista je također prikazana na donjoj slici.
Dnevnike možete pohraniti na različitim mjestima - i na samom FortiGate-u i izvan njega. Čuvanje dnevnika na FortiGate-u se smatra lokalnim evidentiranjem. Ovisno o samom uređaju, zapisnici se mogu pohraniti ili u flash memoriju uređaja ili na tvrdi disk. Po pravilu, modeli iz sredine imaju hard disk. Modele s tvrdim diskom prilično je lako razlikovati - na kraju se nalazi jedinica. Na primjer, FortiGate 100E dolazi bez tvrdog diska, a FortiGate 101E dolazi sa čvrstim diskom.
Mlađi i stariji modeli obično nemaju čvrsti disk. U ovom slučaju, fleš memorija se koristi za snimanje dnevnika. Međutim, vrijedi uzeti u obzir da stalno pisanje dnevnika u flash memoriju može smanjiti njenu učinkovitost i vijek trajanja. Stoga je pisanje dnevnika u fleš memoriju podrazumevano onemogućeno. Preporučuje se da ga omogućite samo za evidentiranje događaja prilikom rješavanja određenih problema.
Prilikom intenzivnog snimanja dnevnika, nije bitno za tvrdi disk ili fleš memoriju, performanse uređaja će se smanjiti.
Prilično je uobičajeno pohranjivanje dnevnika na udaljene servere. FortiGate može pohraniti logove na Syslog servere, FortiAnalyzer ili FortiManager. Također možete koristiti FortiCloud cloud uslugu za pohranjivanje dnevnika.
Syslog je server za centralno skladištenje dnevnika sa mrežnih uređaja.
FortiCloud je usluga upravljanja sigurnošću i skladištenja dnevnika zasnovana na pretplati. Uz njegovu pomoć, možete daljinski pohraniti dnevnike i napraviti odgovarajuće izvještaje. Ako imate prilično malu mrežu, dobro rješenje može biti korištenje ove usluge u oblaku umjesto kupovine dodatne opreme. Postoji besplatna verzija FortiCloud-a koja uključuje sedmičnu pohranu dnevnika. Nakon kupovine pretplate, zapisnici se mogu čuvati godinu dana.
FortiAnalyzer i FortiManager su vanjski uređaji za pohranu dnevnika. Zbog činjenice da svi imaju isti operativni sistem - FortiOS - integracija FortiGate-a sa ovim uređajima ne predstavlja nikakve poteškoće.
Međutim, postoje razlike koje treba primijetiti između uređaja FortiAnalyzer i FortiManager. Osnovna svrha FortiManager-a je centralizirano upravljanje više FortiGate uređaja - stoga je količina memorije za pohranjivanje logova na FortiManageru znatno manja nego na FortiAnalyzeru (ako, naravno, poredimo modele iz istog cjenovnog segmenta).
Glavna svrha FortiAnalyzer-a je upravo prikupljanje i analiza dnevnika. Stoga ćemo dalje razmotriti rad s tim u praksi.
Cijela teorija, kao i praktični dio, predstavljeni su u ovoj video lekciji:
U sljedećoj lekciji ćemo pokriti osnove administriranja FortiGate jedinice. Kako ga ne biste propustili, pratite ažuriranja na sljedećim kanalima:
izvor: www.habr.com