Hallo Freunde! Wir freuen uns, Sie zu unserem neuen FortiAnalyzer Getting Started-Kurs begrĂŒĂen zu dĂŒrfen. Auf Kurs Die FunktionalitĂ€t von FortiAnalyzer haben wir uns bereits angeschaut, allerdings sind wir eher oberflĂ€chlich darauf eingegangen. Jetzt möchte ich Ihnen mehr ĂŒber dieses Produkt, seine Ziele, Ziele und FĂ€higkeiten erzĂ€hlen. Dieser Kurs sollte nicht so umfangreich sein wie der letzte, aber ich hoffe, dass er interessant und informativ sein wird.
Da sich die Lektion als völlig theoretisch herausstellte, haben wir uns entschieden, sie der Einfachheit halber auch im Artikelformat zu prÀsentieren.
In diesem Kurs werden wir folgende Punkte behandeln:
- Allgemeine Informationen zum Produkt, seinem Zweck, seinen Aufgaben und Hauptmerkmalen
- Lassen Sie uns ein Layout vorbereiten. WĂ€hrend der Vorbereitung werfen wir einen detaillierten Blick auf die Erstkonfiguration von FortiAnalyzer
- Machen wir uns mit dem Mechanismus zum Speichern, Verarbeiten und Filtern von Protokollen fĂŒr eine einfache Suche vertraut und betrachten wir auch den FortiView-Mechanismus, der visuelle Informationen ĂŒber den Zustand des Netzwerks in Form verschiedener Grafiken, Diagramme und anderer Widgets prĂ€sentiert
- Schauen wir uns den Prozess der Erstellung vorhandener Berichte an und erfahren Sie, wie Sie eigene Berichte erstellen und vorhandene Berichte bearbeiten
- Lassen Sie uns die wichtigsten Probleme im Zusammenhang mit der Verwaltung von FortiAnalyzer durchgehen
- Lassen Sie uns noch einmal ĂŒber das Lizenzsystem sprechen â darĂŒber habe ich bereits in Lektion 11 des Kurses gesprochen. , aber wie man sagt: Wiederholung ist die Mutter des Lernens.
Der Hauptzweck von FortiAnalyzer ist die zentrale Speicherung von Protokollen von einem oder mehreren Fortinet-GerĂ€ten sowie deren Verarbeitung und Analyse. Dadurch können Sicherheitsadministratoren verschiedene Netzwerk- und Sicherheitsereignisse von einem Ort aus ĂŒberwachen, schnell die erforderlichen Informationen aus Protokollen und Widgets abrufen und Berichte fĂŒr alle oder bestimmte GerĂ€te erstellen.
Die Liste der GerÀte, von denen FortiAnalyzer Protokolle empfangen und analysieren kann, ist in der folgenden Abbildung dargestellt.
FortiAnalyzer verfĂŒgt ĂŒber drei Hauptfunktionen: Berichterstellung, Warnungen und Archivierung. Schauen wir uns jeden von ihnen an.
Berichte â Berichte bieten eine visuelle Darstellung von Netzwerkereignissen, Sicherheitsereignissen und verschiedenen AktivitĂ€ten, die auf unterstĂŒtzten GerĂ€ten auftreten. Der Berichtsmechanismus sammelt die erforderlichen Daten aus vorhandenen Protokollen und stellt sie in einer leicht lesbaren und analysierbaren Form dar. Mithilfe von Berichten können Sie schnell die erforderlichen Informationen zur GerĂ€teleistung, Netzwerksicherheit, den am hĂ€ufigsten besuchten Ressourcen usw. abrufen. Es gibt viele Möglichkeiten. Berichte können auch verwendet werden, um den Status des Netzwerks und der unterstĂŒtzten GerĂ€te ĂŒber einen lĂ€ngeren Zeitraum zu analysieren. Bei der Untersuchung verschiedener SicherheitsvorfĂ€lle sind sie hĂ€ufig unverzichtbar.
Mit Warnungen können Sie schnell auf verschiedene Bedrohungen im Netzwerk reagieren. Das System generiert Warnungen, wenn Protokolle angezeigt werden, die vorkonfigurierte Bedingungen erfĂŒllen â Virenerkennung, Ausnutzung verschiedener Schwachstellen usw. Diese Warnungen sind in der FortiAnalyzer-WeboberflĂ€che sichtbar und Sie können deren Versand ĂŒber das SNMP-Protokoll, an den Syslog-Server und auch an bestimmte E-Mail-Adressen konfigurieren.
Durch die Archivierung können Sie Kopien verschiedener Inhalte, die ĂŒber das Netzwerk flieĂen, auf dem FortiAnalyzer speichern. Dies wird normalerweise in Verbindung mit der DLP-Engine verwendet, um verschiedene Dateien zu speichern, die den unterschiedlichen Regeln der Engine unterliegen. Es kann auch fĂŒr die Untersuchung verschiedener SicherheitsvorfĂ€lle nĂŒtzlich sein.
Ein weiteres interessantes Feature ist die Möglichkeit, administrative DomĂ€nen zu nutzen. Mit dieser Technologie können Sie GerĂ€tegruppen basierend auf verschiedenen Kriterien erstellen â GerĂ€tetypen, geografischer Standort usw. Die Bildung solcher GerĂ€tegruppen dient folgenden Zwecken:
- Gruppieren Sie GerĂ€te nach Ă€hnlichen Merkmalen, um die Ăberwachung und Verwaltung zu vereinfachen. GerĂ€te werden beispielsweise nach geografischem Standort gruppiert. Sie mĂŒssen einige Informationen in den Protokollen fĂŒr GerĂ€te finden, die sich in derselben Gruppe befinden. Anstatt die Protokolle sorgfĂ€ltig zu filtern, schauen Sie sich einfach die Protokolle fĂŒr die erforderliche VerwaltungsdomĂ€ne an und suchen nach den erforderlichen Informationen.
- Zur Unterscheidung des Verwaltungszugriffs kann jede VerwaltungsdomÀne einen oder mehrere Administratoren haben, die nur Zugriff auf diese VerwaltungsdomÀne haben
- Verwalten Sie effizient Speicherplatz und Speicherrichtlinien fĂŒr GerĂ€tedaten â Anstatt eine einzige Speicherkonfiguration fĂŒr alle GerĂ€te zu erstellen, können Sie mit VerwaltungsdomĂ€nen geeignetere Konfigurationen fĂŒr einzelne GerĂ€tegruppen festlegen. Dies kann nĂŒtzlich sein, wenn Sie ĂŒber mehrere GerĂ€te verfĂŒgen und Sie Daten von einer GerĂ€tegruppe ein Jahr lang und von einer anderen GerĂ€tegruppe drei Jahre lang speichern mĂŒssen. Dementsprechend können Sie jeder Gruppe geeigneten Speicherplatz zuweisen â fĂŒr eine Gruppe, die eine groĂe Anzahl von Protokollen generiert, können Sie mehr Speicherplatz und fĂŒr eine andere Gruppe weniger Speicherplatz zuweisen.
FortiAnalyzer kann in zwei Modi betrieben werden: Analysator und Sammler. Der Betriebsmodus wird je nach individuellen Anforderungen und Netzwerktopologie ausgewÀhlt.
Wenn FortiAnalyzer im Analysemodus arbeitet, fungiert es als primĂ€rer Aggregator von Protokollen von einem oder mehreren Protokollsammlern. Protokollsammler sind sowohl FortiAnalyzer im Collector-Modus als auch andere GerĂ€te, die von FortiAnalyzer unterstĂŒtzt werden (ihre Liste wurde oben in der Abbildung angezeigt). Diese Betriebsart wird standardmĂ€Ăig verwendet.
Wenn FortiAnalyzer im Collector-Modus ausgefĂŒhrt wird, sammelt es Protokolle von anderen GerĂ€ten und leitet sie dann an ein anderes GerĂ€t weiter, z. B. FortiAnalyzer im Analyzer- oder Syslog-Modus. Im Collector-Modus kann FortiAnalyzer die meisten Funktionen wie Berichte und Warnungen nicht nutzen, da sein Hauptzweck darin besteht, Protokolle zu sammeln und weiterzuleiten.
Die Verwendung mehrerer FortiAnalyzer-GerĂ€te in verschiedenen Modi kann die ProduktivitĂ€t steigern â FortiAnalyzer im Collector-Modus sammelt Protokolle von allen GerĂ€ten und sendet sie zur anschlieĂenden Analyse an den Analyzer, wodurch FortiAnalyzer im Analyzer-Modus Ressourcen einsparen kann, die fĂŒr den Empfang von Protokollen von mehreren GerĂ€ten aufgewendet werden, und sich ganz darauf konzentrieren kann Protokollverarbeitung.
FortiAnalyzer unterstĂŒtzt die deklarative SQL-Abfragesprache fĂŒr Protokollierung und Berichterstellung. Mit seiner Hilfe werden Protokolle in lesbarer Form dargestellt. AuĂerdem werden mit dieser Abfragesprache verschiedene Berichte erstellt. Einige Berichtsfunktionen erfordern gewisse SQL- und Datenbankkenntnisse, aber die integrierten Funktionen von FortiAnalyzer machen diese Kenntnisse oft ĂŒberflĂŒssig. Dies wird uns erneut begegnen, wenn wir uns mit dem Meldemechanismus befassen.
FortiAnalyzer selbst gibt es in verschiedenen AusfĂŒhrungen. Dies kann ein separates physisches GerĂ€t oder eine virtuelle Maschine sein â es werden verschiedene Hypervisoren unterstĂŒtzt, eine vollstĂ€ndige Liste finden Sie in . Es kann auch in spezialisierten Infrastrukturen eingesetzt werden â AWS. Azure, Google Cloud und andere. Und die letzte Option ist FortiAnalyzer Cloud, ein Cloud-Dienst von Fortinet.
In der nĂ€chsten Lektion erstellen wir ein Layout fĂŒr die weitere praktische Arbeit. Um es nicht zu verpassen, abonnieren Sie unseren .
Sie können die Aktualisierungen auch auf den folgenden Ressourcen verfolgen:
Source: habr.com
