Hej venner! Vi er glade for at byde dig velkommen til vores nye FortiAnalyzer Kom godt i gang kursus. På kursus Vi har allerede set på funktionaliteten af FortiAnalyzer, men vi gennemgik det ret overfladisk. Nu vil jeg fortælle dig mere detaljeret om dette produkt, om dets mål, mål og muligheder. Dette kursus burde ikke være lige så omfangsrigt som det sidste, men jeg håber, at det bliver interessant og informativt.
Da lektionen viste sig at være fuldstændig teoretisk, besluttede vi for din bekvemmelighed også at præsentere den i artikelformat.
På dette kursus vil vi dække følgende punkter:
- Generel information om produktet, dets formål, opgaver og nøglefunktioner
- Lad os forberede et layout, under forberedelsen tager vi et detaljeret kig på den indledende konfiguration af FortiAnalyzer
- Lad os stifte bekendtskab med mekanismen til lagring, behandling og filtrering af logfiler for nem søgning, og overveje også FortiView-mekanismen, som præsenterer visuel information om netværkets tilstand i form af forskellige grafer, diagrammer og andre widgets
- Lad os se på processen med at oprette eksisterende rapporter, og også lære, hvordan du opretter dine egne rapporter og redigerer eksisterende rapporter
- Lad os gennemgå de vigtigste problemer relateret til FortiAnalyzer-administration
- Lad os diskutere licensordningen igen - jeg talte allerede om det i lektion 11 af kurset. , men som man siger, gentagelse er læringens moder.
Hovedformålet med FortiAnalyzer er centraliseret lagring af logfiler fra en eller flere Fortinet-enheder, samt deres behandling og analyse. Dette giver sikkerhedsadministratorer mulighed for at overvåge forskellige netværks- og sikkerhedshændelser fra ét sted, hurtigt få de nødvendige oplysninger fra logfiler og widgets og opbygge rapporter på alle eller specifikke enheder.
Listen over enheder, hvorfra FortiAnalyzer kan modtage logfiler og analysere dem, er vist i figuren nedenfor.
FortiAnalyzer har tre nøglefunktioner: rapportering, advarsler og arkivering. Lad os se på hver af dem.
Rapportering - Rapporter giver en visuel repræsentation af netværkshændelser, sikkerhedshændelser og forskellige aktiviteter, der forekommer på understøttede enheder. Rapporteringsmekanismen indsamler de nødvendige data fra eksisterende logfiler og præsenterer dem i en form, der er let at læse og analysere. Ved hjælp af rapporter kan du hurtigt få de nødvendige oplysninger om enhedens ydeevne, netværkssikkerhed, de mest besøgte ressourcer og så videre. Der er mange muligheder. Rapporter kan også bruges til at analysere status for netværket og understøttede enheder over en længere periode. Ganske ofte er de uundværlige, når man skal undersøge forskellige sikkerhedshændelser.
Alarmer giver dig mulighed for hurtigt at reagere på forskellige trusler, der opstår på netværket. Systemet genererer advarsler, når der vises logfiler, der opfylder forudkonfigurerede betingelser - virusdetektion, udnyttelse af forskellige sårbarheder og så videre. Disse advarsler kan ses i FortiAnalyzer-webgrænsefladen, og du kan konfigurere deres afsendelse via SNMP-protokollen, til syslog-serveren og også til specifikke e-mail-adresser.
Arkivering giver dig mulighed for at gemme kopier af forskelligt indhold, der flyder på tværs af netværket på FortiAnalyzer. Dette bruges normalt i forbindelse med DLP-motoren til at gemme forskellige filer, der falder ind under motorens forskellige regler. Det kan også være nyttigt til at undersøge forskellige sikkerhedshændelser.
En anden interessant funktion er muligheden for at bruge administrative domæner. Denne teknologi giver dig mulighed for at oprette grupper af enheder baseret på forskellige kriterier - enhedstyper, geografisk placering og så videre. Oprettelsen af sådanne enhedsgrupper tjener følgende formål:
- Gruppering af enheder baseret på lignende karakteristika for at lette overvågning og styring - for eksempel grupperes enheder efter geografisk placering. Du skal finde nogle oplysninger i logfilerne for enheder, der er placeret i samme gruppe. I stedet for omhyggeligt at filtrere loggene, ser du blot på loggene for det nødvendige administrative domæne og leder efter de nødvendige oplysninger.
- For at differentiere administrativ adgang - hvert administrativt domæne kan have en eller flere administratorer, som kun har adgang til dette administrative domæne
- Administrer effektivt diskplads og lagerpolitikker for enhedsdata - I stedet for at oprette en enkelt lagerkonfiguration for alle enheder, giver administrative domæner dig mulighed for at indstille mere passende konfigurationer for individuelle grupper af enheder. Dette kan være nyttigt, hvis du har flere enheder, og fra en gruppe af enheder skal du gemme data i et år og fra en anden - 3 år. Derfor kan du allokere passende diskplads til hver gruppe - for en gruppe, der genererer et stort antal logfiler, tildele mere plads, og for en anden gruppe - mindre plads.
FortiAnalyzer kan fungere i to tilstande - Analyzer og Collector. Driftstilstanden vælges afhængigt af individuelle krav og netværkstopologi.
Når FortiAnalyzer fungerer i Analyzer-tilstand, fungerer den som den primære aggregator af logfiler fra en eller flere logindsamlere. Logindsamlere er både FortiAnalyzer i Collector-tilstand og andre enheder, der understøttes af FortiAnalyzer (deres liste blev vist ovenfor i figuren). Denne driftstilstand bruges som standard.
Når FortiAnalyzer kører i Collector-tilstand, indsamler den logfiler fra andre enheder og videresender dem derefter til en anden enhed, såsom FortiAnalyzer i Analyzer- eller Syslog-tilstand. I Collector-tilstand kan FortiAnalyzer ikke bruge de fleste funktioner, såsom rapportering og advarsler, da dets hovedformål er at indsamle og videresende logfiler.
Brug af flere FortiAnalyzer-enheder i forskellige tilstande kan øge produktiviteten - FortiAnalyzer i Collector-tilstand indsamler logfiler fra alle enheder og sender dem til Analyzer til efterfølgende analyse, hvilket giver FortiAnalyzer i Analyzer-tilstand mulighed for at spare ressourcer brugt på at modtage logfiler fra flere enheder og fokusere helt på logbehandling.
FortiAnalyzer understøtter deklarativt SQL-forespørgselssprog til logning og rapportering. Med dens hjælp præsenteres logfiler i en læsbar form. Ved at bruge dette forespørgselssprog opbygges også forskellige rapporter. Nogle rapporteringsmuligheder kræver en vis SQL- og databaseviden, men FortiAnalyzers indbyggede muligheder eliminerer ofte denne viden. Vi vil støde på dette igen, når vi overvejer rapporteringsmekanismen.
Selve FortiAnalyzer kommer i flere varianter. Dette kan være en separat fysisk enhed, en virtuel maskine - forskellige hypervisorer understøttes, deres fulde liste kan findes i . Det kan også implementeres i specialiserede infrastrukturer - AWS. Azure, Google Cloud og andre. Og den sidste mulighed er FortiAnalyzer Cloud, en skytjeneste leveret af Fortinet.
I den næste lektion vil vi udarbejde et layout til yderligere praktisk arbejde. For ikke at gå glip af det, abonner på vores .
Du kan også følge opdateringerne om følgende ressourcer:
Kilde: www.habr.com