Dobrý den, přátelé! Jsme rádi, že vás můžeme přivítat v našem novém kurzu FortiAnalyzer Začínáme. Na kurzu Na funkčnost FortiAnalyzeru jsme se již podívali, ale prošli jsme to dost povrchně. Nyní vám chci říci podrobněji o tomto produktu, o jeho cílech, cílech a schopnostech. Tento kurz by neměl být tak objemný jako předchozí, ale doufám, že bude zajímavý a poučný.
Protože se lekce ukázala jako zcela teoretická, rozhodli jsme se ji pro vaše pohodlí prezentovat také ve formě článku.
Během tohoto kurzu probereme následující body:
- Obecné informace o produktu, jeho účelu, úkolech a klíčových vlastnostech
- Připravíme si layout, během přípravy se podrobně podíváme na počáteční konfiguraci FortiAnalyzeru
- Pojďme se seznámit s mechanismem pro ukládání, zpracování a filtrování protokolů pro snadné vyhledávání a také zvážit mechanismus FortiView, který prezentuje vizuální informace o stavu sítě ve formě různých grafů, diagramů a dalších widgetů
- Podívejme se na proces vytváření existujících sestav a také se naučíme, jak vytvářet vlastní sestavy a upravovat stávající sestavy
- Pojďme si projít hlavní problémy související se správou FortiAnalyzer
- Pojďme znovu diskutovat o licenčním schématu - již jsem o něm mluvil v lekci 11 kurzu. , ale jak se říká, opakování je matka učení.
Hlavním účelem FortiAnalyzeru je centralizované ukládání protokolů z jednoho nebo více zařízení Fortinet, jakož i jejich zpracování a analýza. To umožňuje správcům zabezpečení monitorovat různé síťové a bezpečnostní události z jednoho místa, rychle získávat potřebné informace z protokolů a widgetů a vytvářet sestavy na všech nebo konkrétních zařízeních.
Seznam zařízení, ze kterých může FortiAnalyzer přijímat protokoly a analyzovat je, je uveden na obrázku níže.
FortiAnalyzer má tři klíčové funkce: hlášení, výstrahy a archivace. Podívejme se na každou z nich.
Hlášení – Hlášení poskytují vizuální reprezentaci síťových událostí, událostí zabezpečení a různých aktivit probíhajících na podporovaných zařízeních. Mechanismus hlášení shromažďuje potřebná data z existujících protokolů a prezentuje je ve formě, která je snadno čitelná a analyzovaná. Pomocí sestav můžete rychle získat potřebné informace o výkonu zařízení, zabezpečení sítě, nejnavštěvovanějších zdrojích a podobně. Možností je spousta. Zprávy lze také použít k analýze stavu sítě a podporovaných zařízení po dlouhou dobu. Poměrně často jsou nepostradatelné při vyšetřování různých bezpečnostních incidentů.
Upozornění vám umožňují rychle reagovat na různé hrozby vyskytující se v síti. Systém generuje upozornění, když se objeví protokoly, které splňují předem nakonfigurované podmínky – detekce virů, zneužití různých zranitelností a tak dále. Tyto výstrahy lze vidět ve webovém rozhraní FortiAnalyzeru a můžete nakonfigurovat jejich zasílání prostřednictvím protokolu SNMP, na server syslog a také na konkrétní e-mailové adresy.
Archivace vám umožňuje ukládat kopie různého obsahu proudícího po síti na FortiAnalyzer. To se obvykle používá ve spojení s jádrem DLP k ukládání různých souborů, které spadají pod různá pravidla jádra. Může být také užitečné pro vyšetřování různých bezpečnostních incidentů.
Další zajímavou funkcí je možnost využívat administrativní domény. Tato technologie umožňuje vytvářet skupiny zařízení na základě různých kritérií – typů zařízení, geografické polohy a podobně. Vytvoření takových skupin zařízení slouží k následujícím účelům:
- Seskupování zařízení na základě podobných charakteristik pro snadné monitorování a správu – zařízení jsou například seskupena podle geografické polohy. Musíte najít nějaké informace v protokolech pro zařízení umístěná ve stejné skupině. Namísto pečlivého filtrování protokolů se jednoduše podíváte na protokoly požadované administrativní domény a hledáte potřebné informace.
- Pro rozlišení administrativního přístupu – každá administrativní doména může mít jednoho nebo více správců, kteří mají přístup pouze k této administrativní doméně
- Efektivně spravujte diskový prostor a zásady úložiště pro data zařízení – Namísto vytváření jediné konfigurace úložiště pro všechna zařízení vám administrativní domény umožňují nastavit vhodnější konfigurace pro jednotlivé skupiny zařízení. To může být užitečné, pokud máte několik zařízení az jedné skupiny zařízení potřebujete ukládat data po dobu jednoho roku az jiné - 3 roky. Podle toho můžete pro každou skupinu přidělit vhodné místo na disku - pro skupinu, která generuje velké množství protokolů, přidělit více místa a pro jinou skupinu - méně místa.
FortiAnalyzer může pracovat ve dvou režimech – Analyzer a Collector. Provozní režim se volí v závislosti na individuálních požadavcích a topologii sítě.
Když FortiAnalyzer pracuje v režimu Analyzer, funguje jako primární agregátor protokolů z jednoho nebo více sběračů protokolů. Kolektory protokolů jsou jak FortiAnalyzer v režimu Collector, tak i další zařízení, která FortiAnalyzer podporuje (jejich seznam je zobrazen výše na obrázku). Tento provozní režim se používá standardně.
Když FortiAnalyzer běží v režimu Collector, shromažďuje protokoly z jiných zařízení a poté je předává jinému zařízení, jako je FortiAnalyzer v režimu Analyzer nebo Syslog. V režimu Collector nemůže FortiAnalyzer používat většinu funkcí, jako jsou hlášení a výstrahy, protože jeho hlavním účelem je shromažďovat a předávat protokoly.
Použití více zařízení FortiAnalyzer v různých režimech může zvýšit produktivitu – FortiAnalyzer v režimu Collector shromažďuje protokoly ze všech zařízení a odesílá je do Analyzeru k následné analýze, což umožňuje FortiAnalyzeru v režimu Analyzer šetřit prostředky vynaložené na příjem protokolů z více zařízení a soustředit se výhradně na zpracování logu.
FortiAnalyzer podporuje deklarativní dotazovací jazyk SQL pro protokolování a vytváření sestav. S jeho pomocí jsou protokoly prezentovány v čitelné podobě. Pomocí tohoto dotazovacího jazyka se také vytvářejí různé sestavy. Některé možnosti vytváření sestav vyžadují určité znalosti SQL a databáze, ale vestavěné funkce FortiAnalyzer tyto znalosti často eliminují. Znovu se s tím setkáme, když zvážíme mechanismus hlášení.
Samotný FortiAnalyzer se dodává v několika příchutích. Může to být samostatné fyzické zařízení, virtuální stroj – podporovány jsou různé hypervizory, jejich úplný seznam najdete v . Lze jej nasadit i do specializovaných infrastruktur – AWS. Azure, Google Cloud a další. A poslední možností je FortiAnalyzer Cloud, cloudová služba společnosti Fortinet.
V další lekci si připravíme layout pro další praktickou práci. Abyste to nepropásli, přihlaste se k odběru našeho .
Můžete také sledovat aktualizace následujících zdrojů:
Zdroj: www.habr.com