Saluton, amikoj! Ni ĝojas bonvenigi vin al nia nova FortiAnalyzer Komenckurso. Sur kurso Ni jam rigardis la funkciecon de FortiAnalyzer, sed ni trarigardis ĝin sufiĉe supraĵe. Nun mi volas rakonti al vi pli detale pri ĉi tiu produkto, pri ĝiaj celoj, celoj kaj kapabloj. Ĉi tiu kurso ne estu tiom ampleksa kiel la lasta, sed mi esperas, ke ĝi estos interesa kaj informa.
Ĉar la leciono montriĝis tute teoria, por via komforto ni decidis prezenti ĝin ankaŭ artikolformate.
Dum ĉi tiu kurso ni traktos la jenajn punktojn:
- Ĝeneralaj informoj pri la produkto, ĝia celo, taskoj kaj ĉefaj trajtoj
- Ni preparu aranĝon, dum la preparado ni detale rigardos la komencan agordon de FortiAnalyzer
- Ni konatiĝu kun la mekanismo por stoki, prilabori kaj filtri protokolojn por facila serĉado, kaj ankaŭ konsideru la mekanismon FortiView, kiu prezentas vidajn informojn pri la stato de la reto en formo de diversaj grafikaĵoj, diagramoj kaj aliaj fenestraĵoj.
- Ni rigardu la procezon krei ekzistantajn raportojn, kaj ankaŭ lernu kiel krei viajn proprajn raportojn kaj redakti ekzistantajn raportojn.
- Ni trarigardu la ĉefajn aferojn rilate al administrado de FortiAnalyzer
- Ni denove diskutu la licencan skemon - mi jam parolis pri ĝi en la leciono 11 de la kurso. , sed kiel oni diras, ripeto estas la patrino de lernado.
La ĉefa celo de FortiAnalyzer estas la centralizita stokado de ŝtipoj de unu aŭ pluraj Fortinet-aparatoj, same kiel ilia prilaborado kaj analizo. Ĉi tio permesas al sekurecaj administrantoj monitori diversajn retajn kaj sekurecajn eventojn de unu loko, rapide akiri la necesajn informojn de protokoloj kaj fenestraĵoj, kaj konstrui raportojn pri ĉiuj aŭ specifaj aparatoj.
La listo de aparatoj, de kiuj FortiAnalyzer povas ricevi protokolojn kaj analizi ilin, estas prezentita en la suba figuro.
FortiAnalyzer havas tri ĉefajn funkciojn: raportado, atentigoj kaj arkivado. Ni rigardu ĉiun el ili.
Raportado - Raportoj disponigas vidan reprezenton de retaj eventoj, sekurecaj eventoj kaj diversaj agadoj okazantaj sur subtenataj aparatoj. La raporta mekanismo kolektas la necesajn datumojn de ekzistantaj protokoloj kaj prezentas ilin en formo facile legebla kaj analizebla. Uzante raportojn, vi povas rapide akiri la necesajn informojn pri aparata agado, retsekureco, la plej vizitataj rimedoj, ktp. Estas multaj ebloj. Raportoj ankaŭ povas esti uzataj por analizi la staton de la reto kaj subtenataj aparatoj dum longa tempo. Sufiĉe ofte ili estas nemalhaveblaj kiam oni esploras diversajn sekurecajn okazaĵojn.
Atentigoj permesas vin rapide respondi al diversaj minacoj okazantaj en la reto. La sistemo generas atentigojn kiam aperas protokoloj, kiuj kontentigas antaŭkonfiguritajn kondiĉojn - virus-detekto, ekspluatado de diversaj vundeblecoj ktp. Ĉi tiuj atentigoj videblas en la interfaco de FortiAnalyzer, kaj vi povas agordi ilian sendon per la protokolo SNMP, al la syslog-servilo, kaj ankaŭ al specifaj retadresoj.
Arkivado permesas vin stoki kopiojn de diversaj enhavo fluantaj tra la reto sur la FortiAnalyzer. Ĉi tio estas kutime uzata kune kun la DLP-motoro por stoki diversajn dosierojn, kiuj kategoriiĝas sub la malsamaj reguloj de la motoro. Ĝi ankaŭ povas esti utila por esplori diversajn sekurecajn okazaĵojn.
Alia interesa trajto estas la kapablo uzi administrajn domajnojn. Ĉi tiu teknologio permesas krei grupojn de aparatoj laŭ diversaj kriterioj - tipoj de aparatoj, geografia loko ktp. La kreado de tiaj aparatoj servas al la sekvaj celoj:
- Grupigado de aparatoj bazitaj sur similaj trajtoj por facileco de monitorado kaj administrado - ekzemple aparatoj estas grupigitaj laŭ geografia loko. Vi devas trovi iujn informojn en la protokoloj por aparatoj situantaj en la sama grupo. Anstataŭ zorge filtri la protokolojn, vi simple rigardas la protokolojn por la postulata administra domajno kaj serĉas la necesajn informojn.
- Por diferencigi administran aliron - ĉiu administra domajno povas havi unu aŭ plurajn administrantojn, kiuj havas aliron nur al ĉi tiu administra domajno
- Efike administru diskospacon kaj konservadpolitikojn por aparataj datumoj - Anstataŭ krei ununuran stokan agordon por ĉiuj aparatoj, administraj domajnoj permesas agordi pli taŭgajn agordojn por individuaj grupoj de aparatoj. Ĉi tio povas esti utila se vi havas plurajn aparatojn, kaj de unu grupo de aparatoj vi devas konservi datumojn por jaro, kaj de alia - 3 jaroj. Sekve, vi povas asigni taŭgan diskospacon por ĉiu grupo - por grupo, kiu generas grandan nombron da protokoloj, asigni pli da spaco, kaj por alia grupo - malpli da spaco.
FortiAnalyzer povas funkcii en du reĝimoj - Analizilo kaj Kolektanto. La operacia reĝimo estas elektita depende de individuaj postuloj kaj reto-topologio.
Kiam FortiAnalyzer funkcias en Analyzer-reĝimo, ĝi funkcias kiel la ĉefa agregatoro de ŝtipoj de unu aŭ pluraj ŝtipkolektantoj. Registrokolektantoj estas kaj FortiAnalyzer en Kolektanto-reĝimo kaj aliaj aparatoj kiuj estas subtenataj de FortiAnalyzer (ilia listo estis montrita supre en la figuro). Ĉi tiu operacia reĝimo estas uzata defaŭlte.
Kiam FortiAnalyzer funkcias en Kolektanto, ĝi kolektas protokolojn de aliaj aparatoj kaj poste plusendas ilin al alia aparato, kiel FortiAnalyzer en Analizilo aŭ Syslog-reĝimo. En Kolektantreĝimo, FortiAnalyzer ne povas uzi plej multajn funkciojn, kiel raportadon kaj atentigojn, ĉar ĝia ĉefa celo estas kolekti kaj plusendi protokolojn.
Uzi plurajn FortiAnalyzer-aparatojn en malsamaj reĝimoj povas pliigi produktivecon - FortiAnalyzer en Collector-reĝimo kolektas protokolojn de ĉiuj aparatoj kaj sendas ilin al la Analizilo por posta analizo, kio permesas al FortiAnalyzer en Analyzer-reĝimo ŝpari resursojn elspezitajn por ricevi protokolojn de pluraj aparatoj kaj tute koncentriĝi pri protokolo prilaborado.
FortiAnalyzer subtenas deklaran SQL-enketlingvon por registri kaj raporti. Kun ĝia helpo, protokoloj estas prezentitaj en legebla formo. Ankaŭ, uzante ĉi tiun demandlingvon, diversaj raportoj estas konstruitaj. Iuj raportaj kapabloj postulas iom da SQL kaj datumbaza scio, sed la enkonstruitaj kapabloj de FortiAnalyzer ofte forigas ĉi tiun scion. Ni renkontos ĉi tion denove kiam ni pripensos la raportan mekanismon.
FortiAnalyzer mem venas en pluraj gustoj. Ĉi tio povas esti aparta fizika aparato, virtuala maŝino - malsamaj hiperviziiloj estas subtenataj, ilia plena listo troviĝas en . Ĝi ankaŭ povas esti deplojita en specialigitaj infrastrukturoj - AWS. Azure, Google Cloud kaj aliaj. Kaj la lasta opcio estas FortiAnalyzer Cloud, nuba servo provizita de Fortinet.
En la sekva leciono ni preparos aranĝon por plua praktika laboro. Por ne maltrafi ĝin, abonu nian .
Vi ankaŭ povas sekvi la ĝisdatigojn pri la jenaj rimedoj:
fonto: www.habr.com