¡Hola amigos! Nos complace darle la bienvenida a nuestro nuevo curso de introducción a FortiAnalyzer. En curso Ya hemos analizado la funcionalidad de FortiAnalyzer, pero la analizamos de forma bastante superficial. Ahora quiero contarles con más detalle sobre este producto, sobre sus metas, objetivos y capacidades. Este curso no debería ser tan voluminoso como el anterior, pero espero que sea interesante e informativo.
Dado que la lección resultó ser completamente teórica, para su comodidad decidimos presentarla también en formato de artículo.
Durante este curso cubriremos los siguientes puntos:
- Información general sobre el producto, su propósito, tareas y características clave.
- Preparemos un diseño, durante la preparación veremos en detalle la configuración inicial de FortiAnalyzer.
- Conozcamos el mecanismo para almacenar, procesar y filtrar registros para facilitar la búsqueda, y también consideremos el mecanismo FortiView, que presenta información visual sobre el estado de la red en forma de varios gráficos, diagramas y otros widgets.
- Veamos el proceso de creación de informes existentes y también aprendamos cómo crear sus propios informes y editar informes existentes.
- Repasemos los principales problemas relacionados con la administración de FortiAnalyzer.
- Analicemos nuevamente el esquema de licencias; ya hablé de ello en la lección 11 del curso. , pero como dicen, la repetición es la madre del aprendizaje.
El objetivo principal de FortiAnalyzer es el almacenamiento centralizado de registros de uno o más dispositivos Fortinet, así como su procesamiento y análisis. Esto permite a los administradores de seguridad monitorear varios eventos de seguridad y de red desde un solo lugar, obtener rápidamente la información necesaria de registros y widgets, y crear informes sobre todos los dispositivos o sobre dispositivos específicos.
La lista de dispositivos desde los cuales FortiAnalyzer puede recibir registros y analizarlos se presenta en la siguiente figura.
FortiAnalyzer tiene tres características clave: informes, alertas y archivo. Veamos cada uno de ellos.
Informes: los informes proporcionan una representación visual de eventos de red, eventos de seguridad y diversas actividades que ocurren en los dispositivos compatibles. El mecanismo de informes recopila los datos necesarios de los registros existentes y los presenta en un formato fácil de leer y analizar. Con los informes, puede obtener rápidamente la información necesaria sobre el rendimiento del dispositivo, la seguridad de la red, los recursos más visitados, etc. Hay muchas opciones. Los informes también se pueden utilizar para analizar el estado de la red y los dispositivos compatibles durante un largo período de tiempo. Muy a menudo son indispensables a la hora de investigar diversos incidentes de seguridad.
Las alertas le permiten responder rápidamente a diversas amenazas que ocurren en la red. El sistema genera alertas cuando aparecen registros que satisfacen condiciones preconfiguradas: detección de virus, explotación de diversas vulnerabilidades, etc. Estas alertas se pueden ver en la interfaz web de FortiAnalyzer y se puede configurar su envío mediante el protocolo SNMP, al servidor syslog y también a direcciones de correo electrónico específicas.
Archivar le permite almacenar copias de diversos contenidos que fluyen a través de la red en FortiAnalyzer. Esto generalmente se usa junto con el motor DLP para almacenar varios archivos que se rigen por las diferentes reglas del motor. También puede resultar útil para investigar diversos incidentes de seguridad.
Otra característica interesante es la posibilidad de utilizar dominios administrativos. Esta tecnología le permite crear grupos de dispositivos según varios criterios: tipos de dispositivos, ubicación geográfica, etc. La creación de dichos grupos de dispositivos tiene los siguientes propósitos:
- Agrupar dispositivos en función de características similares para facilitar el monitoreo y la administración; por ejemplo, los dispositivos se agrupan por ubicación geográfica. Debe encontrar información en los registros de los dispositivos ubicados en el mismo grupo. En lugar de filtrar cuidadosamente los registros, simplemente mira los registros del dominio administrativo requerido y busca la información necesaria.
- Para diferenciar el acceso administrativo: cada dominio administrativo puede tener uno o más administradores que tengan acceso únicamente a este dominio administrativo.
- Administre eficientemente el espacio en disco y las políticas de almacenamiento para los datos del dispositivo: en lugar de crear una única configuración de almacenamiento para todos los dispositivos, los dominios administrativos le permiten establecer configuraciones más apropiadas para grupos individuales de dispositivos. Esto puede resultar útil si tiene varios dispositivos y de un grupo de dispositivos necesita almacenar datos durante un año y de otro, 3 años. En consecuencia, puede asignar espacio en disco adecuado para cada grupo: para un grupo que genera una gran cantidad de registros, asigne más espacio y para otro grupo, menos espacio.
FortiAnalyzer puede funcionar en dos modos: Analizador y Recolector. El modo de funcionamiento se selecciona según los requisitos individuales y la topología de la red.
Cuando FortiAnalyzer opera en modo Analizador, actúa como el agregador principal de registros de uno o más recopiladores de registros. Los recolectores de registros son tanto FortiAnalyzer en modo Recolector como otros dispositivos compatibles con FortiAnalyzer (su lista se muestra arriba en la figura). Este modo de funcionamiento se utiliza de forma predeterminada.
Cuando FortiAnalyzer se ejecuta en modo Recopilador, recopila registros de otros dispositivos y luego los reenvía a otro dispositivo, como FortiAnalyzer en modo Analizador o Syslog. En el modo Recopilador, FortiAnalyzer no puede utilizar la mayoría de las funciones, como informes y alertas, porque su objetivo principal es recopilar y reenviar registros.
El uso de múltiples dispositivos FortiAnalyzer en diferentes modos puede aumentar la productividad: FortiAnalyzer en modo Recolector recopila registros de todos los dispositivos y los envía al Analizador para su análisis posterior, lo que permite que FortiAnalyzer en modo Analizador ahorre recursos gastados en recibir registros de múltiples dispositivos y se concentre completamente en procesamiento de registros.
FortiAnalyzer admite el lenguaje de consulta SQL declarativo para registros e informes. Con su ayuda, los registros se presentan en forma legible. Además, utilizando este lenguaje de consulta, se crean varios informes. Algunas capacidades de generación de informes requieren cierto conocimiento de SQL y bases de datos, pero las capacidades integradas de FortiAnalyzer a menudo eliminan este conocimiento. Nos volveremos a encontrar con esto cuando consideremos el mecanismo de presentación de informes.
El propio FortiAnalyzer viene en varios sabores. Puede ser un dispositivo físico separado, una máquina virtual; se admiten diferentes hipervisores, su lista completa se puede encontrar en . También se puede implementar en infraestructuras especializadas: AWS. Azure, Google Cloud y otros. Y la última opción es FortiAnalyzer Cloud, un servicio en la nube proporcionado por Fortinet.
En la próxima lección prepararemos un diseño para futuros trabajos prácticos. Para no perdértelo, suscríbete a nuestro .
También puede seguir las actualizaciones en los siguientes recursos:
Fuente: habr.com