Γεια σας φίλοι! Είμαστε στην ευχάριστη θέση να σας καλωσορίσουμε στο νέο μας μάθημα FortiAnalyzer Getting Started. Στην πορεία Έχουμε ήδη εξετάσει τη λειτουργικότητα του FortiAnalyzer, αλλά το περάσαμε μάλλον επιφανειακά. Τώρα θέλω να σας πω με περισσότερες λεπτομέρειες για αυτό το προϊόν, για τους στόχους, τους στόχους και τις δυνατότητές του. Αυτό το μάθημα δεν πρέπει να είναι τόσο ογκώδες όσο το προηγούμενο, αλλά ελπίζω ότι θα είναι ενδιαφέρον και κατατοπιστικό.
Επειδή το μάθημα αποδείχθηκε εντελώς θεωρητικό, για τη διευκόλυνσή σας αποφασίσαμε να το παρουσιάσουμε και σε μορφή άρθρου.
Κατά τη διάρκεια αυτού του μαθήματος θα καλύψουμε τα ακόλουθα σημεία:
- Γενικές πληροφορίες σχετικά με το προϊόν, τον σκοπό, τις εργασίες και τα βασικά χαρακτηριστικά του
- Ας ετοιμάσουμε μια διάταξη, κατά τη διάρκεια της προετοιμασίας θα ρίξουμε μια λεπτομερή ματιά στην αρχική διαμόρφωση του FortiAnalyzer
- Ας εξοικειωθούμε με τον μηχανισμό αποθήκευσης, επεξεργασίας και φιλτραρίσματος αρχείων καταγραφής για εύκολη αναζήτηση, καθώς και τον μηχανισμό FortiView, ο οποίος παρουσιάζει οπτικές πληροφορίες σχετικά με την κατάσταση του δικτύου με τη μορφή διαφόρων γραφημάτων, διαγραμμάτων και άλλων γραφικών στοιχείων
- Ας δούμε τη διαδικασία δημιουργίας υπαρχουσών αναφορών και επίσης ας μάθουμε πώς να δημιουργείτε τις δικές σας αναφορές και να επεξεργάζεστε τις υπάρχουσες αναφορές
- Ας δούμε τα κύρια θέματα που σχετίζονται με τη διαχείριση του FortiAnalyzer
- Ας συζητήσουμε ξανά το σύστημα αδειοδότησης - το έχω ήδη μιλήσει στο μάθημα 11 του μαθήματος. , αλλά όπως λένε, η επανάληψη είναι η μητέρα της μάθησης.
Ο κύριος σκοπός του FortiAnalyzer είναι η κεντρική αποθήκευση αρχείων καταγραφής από μία ή περισσότερες συσκευές Fortinet, καθώς και η επεξεργασία και ανάλυσή τους. Αυτό επιτρέπει στους διαχειριστές ασφαλείας να παρακολουθούν διάφορα συμβάντα δικτύου και ασφάλειας από ένα μέρος, να λαμβάνουν γρήγορα τις απαραίτητες πληροφορίες από αρχεία καταγραφής και γραφικά στοιχεία και να δημιουργούν αναφορές σε όλες ή σε συγκεκριμένες συσκευές.
Η λίστα των συσκευών από τις οποίες το FortiAnalyzer μπορεί να λάβει αρχεία καταγραφής και να τα αναλύσει παρουσιάζεται στο παρακάτω σχήμα.
Το FortiAnalyzer έχει τρία βασικά χαρακτηριστικά: αναφορά, ειδοποιήσεις και αρχειοθέτηση. Ας δούμε το καθένα από αυτά.
Αναφορά - Οι αναφορές παρέχουν μια οπτική αναπαράσταση συμβάντων δικτύου, συμβάντων ασφαλείας και διαφόρων δραστηριοτήτων που λαμβάνουν χώρα σε υποστηριζόμενες συσκευές. Ο μηχανισμός αναφοράς συλλέγει τα απαραίτητα δεδομένα από τα υπάρχοντα αρχεία καταγραφής και τα παρουσιάζει σε μια μορφή εύκολη στην ανάγνωση και ανάλυση. Χρησιμοποιώντας αναφορές, μπορείτε να λάβετε γρήγορα τις απαραίτητες πληροφορίες σχετικά με την απόδοση της συσκευής, την ασφάλεια του δικτύου, τους πόρους με τις περισσότερες επισκέψεις κ.λπ. Υπάρχουν πολλές επιλογές. Οι αναφορές μπορούν επίσης να χρησιμοποιηθούν για την ανάλυση της κατάστασης του δικτύου και των υποστηριζόμενων συσκευών για μεγάλο χρονικό διάστημα. Αρκετά συχνά είναι απαραίτητα κατά τη διερεύνηση διαφόρων περιστατικών ασφαλείας.
Οι ειδοποιήσεις σάς επιτρέπουν να απαντάτε γρήγορα σε διάφορες απειλές που εμφανίζονται στο δίκτυο. Το σύστημα δημιουργεί ειδοποιήσεις όταν εμφανίζονται αρχεία καταγραφής που ικανοποιούν προδιαμορφωμένες συνθήκες - ανίχνευση ιών, εκμετάλλευση διαφόρων τρωτών σημείων κ.λπ. Αυτές οι ειδοποιήσεις μπορούν να προβληθούν στη διεπαφή ιστού FortiAnalyzer και μπορείτε να ρυθμίσετε την αποστολή τους μέσω του πρωτοκόλλου SNMP, στον διακομιστή syslog, καθώς και σε συγκεκριμένες διευθύνσεις email.
Η αρχειοθέτηση σάς επιτρέπει να αποθηκεύετε αντίγραφα διαφορετικού περιεχομένου που ρέει στο δίκτυο στο FortiAnalyzer. Αυτό χρησιμοποιείται συνήθως σε συνδυασμό με τη μηχανή DLP για την αποθήκευση διαφόρων αρχείων που εμπίπτουν στους διαφορετικούς κανόνες του κινητήρα. Μπορεί επίσης να είναι χρήσιμο για τη διερεύνηση διαφόρων περιστατικών ασφαλείας.
Ένα άλλο ενδιαφέρον χαρακτηριστικό είναι η δυνατότητα χρήσης διαχειριστικών τομέων. Αυτή η τεχνολογία σάς επιτρέπει να δημιουργείτε ομάδες συσκευών με βάση διάφορα κριτήρια - τύπους συσκευών, γεωγραφική θέση και ούτω καθεξής. Η δημιουργία τέτοιων ομάδων συσκευών εξυπηρετεί τους ακόλουθους σκοπούς:
- Ομαδοποίηση συσκευών με βάση παρόμοια χαρακτηριστικά για ευκολία παρακολούθησης και διαχείρισης—για παράδειγμα, οι συσκευές ομαδοποιούνται κατά γεωγραφική τοποθεσία. Πρέπει να βρείτε ορισμένες πληροφορίες στα αρχεία καταγραφής για συσκευές που βρίσκονται στην ίδια ομάδα. Αντί να φιλτράρετε προσεκτικά τα αρχεία καταγραφής, απλώς κοιτάτε τα αρχεία καταγραφής για τον απαιτούμενο διαχειριστικό τομέα και αναζητάτε τις απαραίτητες πληροφορίες.
- Για να διαφοροποιήσετε την πρόσβαση διαχειριστή - κάθε διαχειριστικός τομέας μπορεί να έχει έναν ή περισσότερους διαχειριστές που έχουν πρόσβαση μόνο σε αυτόν τον τομέα διαχείρισης
- Αποτελεσματική διαχείριση χώρου δίσκου και πολιτικών αποθήκευσης για δεδομένα συσκευής - Αντί να δημιουργείτε μια ενιαία διαμόρφωση αποθήκευσης για όλες τις συσκευές, οι διαχειριστικοί τομείς σάς επιτρέπουν να ορίσετε πιο κατάλληλες διαμορφώσεις για μεμονωμένες ομάδες συσκευών. Αυτό μπορεί να είναι χρήσιμο εάν έχετε πολλές συσκευές και από μια ομάδα συσκευών πρέπει να αποθηκεύσετε δεδομένα για ένα έτος και από μια άλλη - 3 χρόνια. Αντίστοιχα, μπορείτε να εκχωρήσετε κατάλληλο χώρο στο δίσκο για κάθε ομάδα - για μια ομάδα που δημιουργεί μεγάλο αριθμό αρχείων καταγραφής, να εκχωρήσετε περισσότερο χώρο και για μια άλλη ομάδα - λιγότερο χώρο.
Το FortiAnalyzer μπορεί να λειτουργήσει σε δύο λειτουργίες - Αναλυτής και Συλλέκτης. Ο τρόπος λειτουργίας επιλέγεται ανάλογα με τις μεμονωμένες απαιτήσεις και την τοπολογία του δικτύου.
Όταν το FortiAnalyzer λειτουργεί σε λειτουργία Αναλυτή, λειτουργεί ως ο κύριος συσσωρευτής αρχείων καταγραφής από έναν ή περισσότερους συλλέκτες κορμών. Οι συλλέκτες αρχείων καταγραφής είναι τόσο FortiAnalyzer σε λειτουργία Συλλεκτή όσο και άλλες συσκευές που υποστηρίζονται από το FortiAnalyzer (η λίστα τους φαίνεται παραπάνω στο σχήμα). Αυτός ο τρόπος λειτουργίας χρησιμοποιείται από προεπιλογή.
Όταν το FortiAnalyzer εκτελείται σε λειτουργία Συλλέκτη, συλλέγει αρχεία καταγραφής από άλλες συσκευές και στη συνέχεια τα προωθεί σε άλλη συσκευή, όπως το FortiAnalyzer σε λειτουργία Αναλυτή ή Σύστημα καταγραφής. Στη λειτουργία Συλλέκτη, το FortiAnalyzer δεν μπορεί να χρησιμοποιήσει τις περισσότερες δυνατότητες, όπως αναφορές και ειδοποιήσεις, καθώς ο κύριος σκοπός του είναι η συλλογή και προώθηση αρχείων καταγραφής.
Η χρήση πολλαπλών συσκευών FortiAnalyzer σε διαφορετικές λειτουργίες μπορεί να αυξήσει την παραγωγικότητα - Το FortiAnalyzer στη λειτουργία Συλλεκτών συλλέγει αρχεία καταγραφής από όλες τις συσκευές και τα στέλνει στον Αναλυτή για επακόλουθη ανάλυση, η οποία επιτρέπει στο FortiAnalyzer σε λειτουργία Αναλυτή να εξοικονομεί πόρους που δαπανώνται για τη λήψη αρχείων καταγραφής από πολλές συσκευές και να επικεντρώνεται εξ ολοκλήρου σε επεξεργασία ημερολογίου.
Το FortiAnalyzer υποστηρίζει δηλωτική γλώσσα ερωτημάτων SQL για καταγραφή και αναφορά. Με τη βοήθειά του, τα αρχεία καταγραφής παρουσιάζονται σε αναγνώσιμη μορφή. Επίσης, χρησιμοποιώντας αυτή τη γλώσσα ερωτημάτων, δημιουργούνται διάφορες αναφορές. Ορισμένες δυνατότητες αναφοράς απαιτούν κάποιες γνώσεις SQL και βάσης δεδομένων, αλλά οι ενσωματωμένες δυνατότητες του FortiAnalyzer συχνά εξαλείφουν αυτήν τη γνώση. Θα το συναντήσουμε ξανά όταν εξετάσουμε τον μηχανισμό αναφοράς.
Το ίδιο το FortiAnalyzer διατίθεται σε διάφορες γεύσεις. Αυτό μπορεί να είναι μια ξεχωριστή φυσική συσκευή, μια εικονική μηχανή - υποστηρίζονται διαφορετικοί υπερεπόπτες, όπου μπορείτε να βρείτε την πλήρη λίστα τους . Μπορεί επίσης να αναπτυχθεί σε εξειδικευμένες υποδομές - AWS. Azure, Google Cloud και άλλα. Και η τελευταία επιλογή είναι το FortiAnalyzer Cloud, μια υπηρεσία cloud που παρέχεται από τη Fortinet.
Στο επόμενο μάθημα θα ετοιμάσουμε μια διάταξη για περαιτέρω πρακτική εργασία. Για να μην το χάσετε, εγγραφείτε στο δικό μας .
Μπορείτε επίσης να ακολουθήσετε τις ενημερώσεις σχετικά με τους ακόλουθους πόρους:
Πηγή: www.habr.com