Saluton! Bonvenon al la naŭa leciono de la kurso . On Ni ekzamenis la bazajn mekanismojn por kontroli uzantan aliron al diversaj rimedoj. Nun ni havas alian taskon - ni devas analizi la konduton de uzantoj en la reto, kaj ankaŭ agordi la ricevon de datumoj, kiuj povas helpi en la esploro de diversaj sekurecaj okazaĵoj. Tial, en ĉi tiu leciono ni rigardos la registran kaj raportan mekanismon. Por tio, ni bezonos FortiAnalyzer, kiun ni deplojis komence de la kurso. La necesa teorio, same kiel videoleciono, estas haveblaj sub la tranĉo.
En FotiGate, protokoloj estas dividitaj en tri tipojn: trafikaj protokoloj, okazaĵaj protokoloj kaj sekurecaj protokoloj. Ili, siavice, estas dividitaj en subtipojn.
Trafikaj protokoloj registras informojn pri trafikfluo kiel petoj kaj respondoj, se ekzistas. Ĉi tiu tipo enhavas la subtipojn Antaŭen, Loka kaj Sniffer.
La Antaŭen-subtipo enhavas informojn pri trafiko kiun la FortiGate aŭ akceptis aŭ malakceptis surbaze de fajroŝirmilaj politikoj.
La Loka subtipo enhavas informojn pri trafiko rekte de la IP-adreso de FortiGate kaj de la IP-adresoj de kiuj administrado estas farata. Ekzemple, konektoj al la interfaco de FortiGate.
La Sniffer-subtipo enhavas protokolojn de trafiko kiu estis akirita per trafikspegulado.
Eventaj protokoloj enhavas sistemajn aŭ administrajn eventojn, kiel aldoni aŭ ŝanĝi parametrojn, establi kaj rompi VPN-tunelojn, dinamikajn vojajn eventojn ktp. Ĉiuj subtipoj estas prezentitaj en la suba figuro.
Kaj la tria tipo estas sekurecaj protokoloj. Ĉi tiuj protokoloj registras eventojn rilatajn al virusaj atakoj, vizitoj al malpermesitaj rimedoj, uzado de malpermesitaj aplikoj ktp. La plena listo ankaŭ estas prezentita en la suba figuro.
Vi povas konservi ŝtipojn en malsamaj lokoj - kaj sur la FortiGate mem kaj ekster ĝi. Stoki protokolojn sur la FortiGate estas konsiderata loka protokolado. Depende de la aparato mem, protokoloj povas esti konservitaj aŭ en la fulmmemoro de la aparato aŭ sur la malmola disko. Kiel regulo, modeloj de mezo havas malmolan diskon. Modeloj kun malmola disko estas sufiĉe facile distingi - estas unuo ĉe la fino. Ekzemple, FortiGate 100E venas sen malmola disko, kaj FortiGate 101E venas kun malmola disko.
Pli junaj kaj pli malnovaj modeloj kutime ne havas durdiskon. En ĉi tiu kazo, fulmmemoro estas uzata por registri protokolojn. Tamen, indas konsideri, ke senĉese skribi protokolojn al fulmmemoro povas redukti ĝian efikecon kaj funkcidaŭron. Tial, skribi protokolojn al fulmmemoro estas malebligita defaŭlte. Oni rekomendas ebligi ĝin nur por registri eventojn dum solvado de specifaj problemoj.
Kiam intense registras protokolojn, ne gravas al la malmola disko aŭ fulmmemoro, la agado de la aparato malpliiĝos.
Estas sufiĉe ofta stoki protokolojn sur foraj serviloj. FortiGate povas stoki protokolojn sur Syslog-serviloj, FortiAnalyzer aŭ FortiManager. Vi ankaŭ povas uzi la nuban servon FortiCloud por konservi ŝtipojn.
Syslog estas servilo por centre stoki protokolojn de retaj aparatoj.
FortiCloud estas abon-bazita sekureca administrado kaj protokolo-stokado. Kun ĝia helpo, vi povas malproksime stoki protokolojn kaj konstrui taŭgajn raportojn. Se vi havas sufiĉe malgrandan reton, bona solvo povas esti uzi ĉi tiun nuban servon anstataŭ aĉeti pliajn ekipaĵojn. Estas senpaga versio de FortiCloud, kiu inkluzivas semajnan protokolon. Post aĉeto de abono, protokoloj povas esti konservitaj dum jaro.
FortiAnalyzer kaj FortiManager estas eksteraj protokolaj aparatoj. Pro la fakto, ke ili ĉiuj havas la saman operaciumon - FortiOS - integriĝo de FortiGate kun ĉi tiuj aparatoj ne prezentas malfacilaĵojn.
Tamen, estas diferencoj por noti inter la aparatoj FortiAnalyzer kaj FortiManager. La ĉefa celo de FortiManager estas centralizita administrado de pluraj FortiGate-aparatoj - tial la kvanto de memoro por stoki protokolojn sur FortiManager estas signife malpli ol ĉe FortiAnalyzer (se, kompreneble, ni komparas modelojn de la sama prezsegmento).
La ĉefa celo de FortiAnalyzer estas ĝuste kolekti kaj analizi ŝtipojn. Tial ni plu konsideros labori kun ĝi praktike.
La tuta teorio, same kiel la praktika parto, estas prezentitaj en ĉi tiu videoleciono:
En la sekva leciono, ni kovros la bazojn pri administrado de FortiGate-unuo. Por ne maltrafi ĝin, sekvu la ĝisdatigojn ĉe la sekvaj kanaloj:
fonto: www.habr.com