Vær hilset! Velkommen til kursets niende lektion . på Vi undersøgte de grundlæggende mekanismer til at kontrollere brugeradgang til forskellige ressourcer. Nu har vi en anden opgave - vi skal analysere brugernes adfærd på netværket og også konfigurere modtagelsen af data, der kan hjælpe med at undersøge forskellige sikkerhedshændelser. Derfor vil vi i denne lektion se på lognings- og rapporteringsmekanismen. Til dette skal vi bruge FortiAnalyzer, som vi implementerede i begyndelsen af kurset. Den nødvendige teori samt en videolektion er tilgængelig under snittet.
I FotiGate er logs opdelt i tre typer: trafiklogs, hændelseslogs og sikkerhedslogs. De er til gengæld opdelt i undertyper.
Trafiklogfiler registrerer trafikstrømsoplysninger såsom anmodninger og svar, hvis nogen. Denne type indeholder undertyperne Forward, Local og Sniffer.
Forward-undertypen indeholder information om trafik, som FortiGate enten har accepteret eller afvist baseret på firewall-politikker.
Den lokale undertype indeholder information om trafik direkte fra FortiGate IP-adressen og fra de IP-adresser, hvorfra administrationen udføres. For eksempel forbindelser til FortiGate-webgrænsefladen.
Sniffer-undertypen indeholder logfiler over trafik, der blev opnået ved hjælp af trafikspejling.
Hændelseslogfiler indeholder system- eller administrative hændelser, såsom tilføjelse eller ændring af parametre, etablering og brud af VPN-tunneler, dynamiske routinghændelser og så videre. Alle undertyper er vist i figuren nedenfor.
Og den tredje type er sikkerhedslogfiler. Disse logfiler registrerer hændelser relateret til virusangreb, besøg på forbudte ressourcer, brug af forbudte applikationer og så videre. Den fulde liste er også præsenteret i figuren nedenfor.
Du kan gemme logs forskellige steder - både på selve FortiGate og udenfor den. Lagring af logfiler på FortiGate betragtes som lokal logning. Afhængigt af selve enheden kan logfiler gemmes enten i enhedens flashhukommelse eller på harddisken. Som regel har modeller fra midten en harddisk. Modeller med en harddisk er ret nemme at skelne - der er en enhed i slutningen. For eksempel kommer FortiGate 100E uden harddisk, og FortiGate 101E kommer med en harddisk.
Yngre og ældre modeller har normalt ikke en harddisk. I dette tilfælde bruges flash-hukommelse til at registrere logfiler. Det er dog værd at overveje, at konstant skrivning af logfiler til flashhukommelse kan reducere effektiviteten og levetiden. Derfor er skrivning af logfiler til flashhukommelsen deaktiveret som standard. Det anbefales kun at aktivere det til at logge hændelser, mens specifikke problemer løses.
Ved intensiv optagelse af logs er det lige meget for harddisken eller flashhukommelsen, enhedens ydeevne vil falde.
Det er ret almindeligt at gemme logfiler på fjernservere. FortiGate kan gemme logfiler på Syslog-servere, FortiAnalyzer eller FortiManager. Du kan også bruge FortiCloud-skytjenesten til at gemme logfiler.
Syslog er en server til central lagring af logfiler fra netværksenheder.
FortiCloud er en abonnementsbaseret sikkerhedsstyrings- og loglagringstjeneste. Med dens hjælp kan du eksternt gemme logfiler og opbygge passende rapporter. Har du et ret lille netværk, kan en god løsning være at bruge denne cloud-tjeneste frem for at købe ekstra udstyr. Der er en gratis version af FortiCloud, der inkluderer ugentlig loglagring. Efter køb af et abonnement kan logfiler gemmes i et år.
FortiAnalyzer og FortiManager er eksterne loglagringsenheder. På grund af det faktum, at de alle har det samme operativsystem - FortiOS - giver integrationen af FortiGate med disse enheder ingen problemer.
Der er dog forskelle at bemærke mellem FortiAnalyzer- og FortiManager-enhederne. Hovedformålet med FortiManager er centraliseret styring af flere FortiGate-enheder - derfor er mængden af hukommelse til lagring af logs på FortiManager væsentligt mindre end på FortiAnalyzer (hvis vi selvfølgelig sammenligner modeller fra samme prissegment).
Hovedformålet med FortiAnalyzer er netop at indsamle og analysere logfiler. Derfor vil vi yderligere overveje at arbejde med det i praksis.
Hele teorien, såvel som den praktiske del, præsenteres i denne videolektion:
I den næste lektion vil vi dække det grundlæggende i at administrere en FortiGate-enhed. For ikke at gå glip af det, følg opdateringerne på følgende kanaler:
Kilde: www.habr.com