Hallo Freunde! Wir freuen uns, Sie zu unserem neuen FortiAnalyzer Getting Started-Kurs begrüßen zu dürfen. Auf Kurs Die Funktionalität von FortiAnalyzer haben wir uns bereits angeschaut, allerdings sind wir eher oberflächlich darauf eingegangen. Jetzt möchte ich Ihnen mehr über dieses Produkt, seine Ziele, Ziele und Fähigkeiten erzählen. Dieser Kurs sollte nicht so umfangreich sein wie der letzte, aber ich hoffe, dass er interessant und informativ sein wird.
Da sich die Lektion als völlig theoretisch herausstellte, haben wir uns entschieden, sie der Einfachheit halber auch im Artikelformat zu präsentieren.
In diesem Kurs werden wir folgende Punkte behandeln:
- Allgemeine Informationen zum Produkt, seinem Zweck, seinen Aufgaben und Hauptmerkmalen
- Lassen Sie uns ein Layout vorbereiten. Während der Vorbereitung werfen wir einen detaillierten Blick auf die Erstkonfiguration von FortiAnalyzer
- Machen wir uns mit dem Mechanismus zum Speichern, Verarbeiten und Filtern von Protokollen für eine einfache Suche vertraut und betrachten wir auch den FortiView-Mechanismus, der visuelle Informationen über den Zustand des Netzwerks in Form verschiedener Grafiken, Diagramme und anderer Widgets präsentiert
- Schauen wir uns den Prozess der Erstellung vorhandener Berichte an und erfahren Sie, wie Sie eigene Berichte erstellen und vorhandene Berichte bearbeiten
- Lassen Sie uns die wichtigsten Probleme im Zusammenhang mit der Verwaltung von FortiAnalyzer durchgehen
- Lassen Sie uns noch einmal über das Lizenzsystem sprechen – darüber habe ich bereits in Lektion 11 des Kurses gesprochen. , aber wie man sagt: Wiederholung ist die Mutter des Lernens.
Der Hauptzweck von FortiAnalyzer ist die zentrale Speicherung von Protokollen von einem oder mehreren Fortinet-Geräten sowie deren Verarbeitung und Analyse. Dadurch können Sicherheitsadministratoren verschiedene Netzwerk- und Sicherheitsereignisse von einem Ort aus überwachen, schnell die erforderlichen Informationen aus Protokollen und Widgets abrufen und Berichte für alle oder bestimmte Geräte erstellen.
Die Liste der Geräte, von denen FortiAnalyzer Protokolle empfangen und analysieren kann, ist in der folgenden Abbildung dargestellt.
FortiAnalyzer verfügt über drei Hauptfunktionen: Berichterstellung, Warnungen und Archivierung. Schauen wir uns jeden von ihnen an.
Berichte – Berichte bieten eine visuelle Darstellung von Netzwerkereignissen, Sicherheitsereignissen und verschiedenen Aktivitäten, die auf unterstützten Geräten auftreten. Der Berichtsmechanismus sammelt die erforderlichen Daten aus vorhandenen Protokollen und stellt sie in einer leicht lesbaren und analysierbaren Form dar. Mithilfe von Berichten können Sie schnell die erforderlichen Informationen zur Geräteleistung, Netzwerksicherheit, den am häufigsten besuchten Ressourcen usw. abrufen. Es gibt viele Möglichkeiten. Berichte können auch verwendet werden, um den Status des Netzwerks und der unterstützten Geräte über einen längeren Zeitraum zu analysieren. Bei der Untersuchung verschiedener Sicherheitsvorfälle sind sie häufig unverzichtbar.
Mit Warnungen können Sie schnell auf verschiedene Bedrohungen im Netzwerk reagieren. Das System generiert Warnungen, wenn Protokolle angezeigt werden, die vorkonfigurierte Bedingungen erfüllen – Virenerkennung, Ausnutzung verschiedener Schwachstellen usw. Diese Warnungen sind in der FortiAnalyzer-Weboberfläche sichtbar und Sie können deren Versand über das SNMP-Protokoll, an den Syslog-Server und auch an bestimmte E-Mail-Adressen konfigurieren.
Durch die Archivierung können Sie Kopien verschiedener Inhalte, die über das Netzwerk fließen, auf dem FortiAnalyzer speichern. Dies wird normalerweise in Verbindung mit der DLP-Engine verwendet, um verschiedene Dateien zu speichern, die den unterschiedlichen Regeln der Engine unterliegen. Es kann auch für die Untersuchung verschiedener Sicherheitsvorfälle nützlich sein.
Ein weiteres interessantes Feature ist die Möglichkeit, administrative Domänen zu nutzen. Mit dieser Technologie können Sie Gerätegruppen basierend auf verschiedenen Kriterien erstellen – Gerätetypen, geografischer Standort usw. Die Bildung solcher Gerätegruppen dient folgenden Zwecken:
- Gruppieren Sie Geräte nach ähnlichen Merkmalen, um die Überwachung und Verwaltung zu vereinfachen. Geräte werden beispielsweise nach geografischem Standort gruppiert. Sie müssen einige Informationen in den Protokollen für Geräte finden, die sich in derselben Gruppe befinden. Anstatt die Protokolle sorgfältig zu filtern, schauen Sie sich einfach die Protokolle für die erforderliche Verwaltungsdomäne an und suchen nach den erforderlichen Informationen.
- Zur Unterscheidung des Verwaltungszugriffs kann jede Verwaltungsdomäne einen oder mehrere Administratoren haben, die nur Zugriff auf diese Verwaltungsdomäne haben
- Verwalten Sie effizient Speicherplatz und Speicherrichtlinien für Gerätedaten – Anstatt eine einzige Speicherkonfiguration für alle Geräte zu erstellen, können Sie mit Verwaltungsdomänen geeignetere Konfigurationen für einzelne Gerätegruppen festlegen. Dies kann nützlich sein, wenn Sie über mehrere Geräte verfügen und Sie Daten von einer Gerätegruppe ein Jahr lang und von einer anderen Gerätegruppe drei Jahre lang speichern müssen. Dementsprechend können Sie jeder Gruppe geeigneten Speicherplatz zuweisen – für eine Gruppe, die eine große Anzahl von Protokollen generiert, können Sie mehr Speicherplatz und für eine andere Gruppe weniger Speicherplatz zuweisen.
FortiAnalyzer kann in zwei Modi betrieben werden: Analysator und Sammler. Der Betriebsmodus wird je nach individuellen Anforderungen und Netzwerktopologie ausgewählt.
Wenn FortiAnalyzer im Analysemodus arbeitet, fungiert es als primärer Aggregator von Protokollen von einem oder mehreren Protokollsammlern. Protokollsammler sind sowohl FortiAnalyzer im Collector-Modus als auch andere Geräte, die von FortiAnalyzer unterstützt werden (ihre Liste wurde oben in der Abbildung angezeigt). Diese Betriebsart wird standardmäßig verwendet.
Wenn FortiAnalyzer im Collector-Modus ausgeführt wird, sammelt es Protokolle von anderen Geräten und leitet sie dann an ein anderes Gerät weiter, z. B. FortiAnalyzer im Analyzer- oder Syslog-Modus. Im Collector-Modus kann FortiAnalyzer die meisten Funktionen wie Berichte und Warnungen nicht nutzen, da sein Hauptzweck darin besteht, Protokolle zu sammeln und weiterzuleiten.
Die Verwendung mehrerer FortiAnalyzer-Geräte in verschiedenen Modi kann die Produktivität steigern – FortiAnalyzer im Collector-Modus sammelt Protokolle von allen Geräten und sendet sie zur anschließenden Analyse an den Analyzer, wodurch FortiAnalyzer im Analyzer-Modus Ressourcen einsparen kann, die für den Empfang von Protokollen von mehreren Geräten aufgewendet werden, und sich ganz darauf konzentrieren kann Protokollverarbeitung.
FortiAnalyzer unterstützt die deklarative SQL-Abfragesprache für Protokollierung und Berichterstellung. Mit seiner Hilfe werden Protokolle in lesbarer Form dargestellt. Außerdem werden mit dieser Abfragesprache verschiedene Berichte erstellt. Einige Berichtsfunktionen erfordern gewisse SQL- und Datenbankkenntnisse, aber die integrierten Funktionen von FortiAnalyzer machen diese Kenntnisse oft überflüssig. Dies wird uns erneut begegnen, wenn wir uns mit dem Meldemechanismus befassen.
FortiAnalyzer selbst gibt es in verschiedenen Ausführungen. Dies kann ein separates physisches Gerät oder eine virtuelle Maschine sein – es werden verschiedene Hypervisoren unterstützt, eine vollständige Liste finden Sie in . Es kann auch in spezialisierten Infrastrukturen eingesetzt werden – AWS. Azure, Google Cloud und andere. Und die letzte Option ist FortiAnalyzer Cloud, ein Cloud-Dienst von Fortinet.
In der nächsten Lektion erstellen wir ein Layout für die weitere praktische Arbeit. Um es nicht zu verpassen, abonnieren Sie unseren .
Sie können die Aktualisierungen auch auf den folgenden Ressourcen verfolgen:
Source: habr.com