سلام دوستان! ما خوشحالیم که شما را به دوره جدید FortiAnalyzer Getting Started خوش آمد می گوییم. در دوره Fortinet شروع به کار ما قبلاً به عملکرد FortiAnalyzer نگاه کردهایم، اما نسبتاً سطحی از آن عبور کردیم. اکنون می خواهم جزئیات بیشتری در مورد این محصول، اهداف، اهداف و قابلیت های آن برای شما بگویم. این دوره نباید به حجم دوره قبل باشد، اما امیدوارم جالب و آموزنده باشد.
از آنجایی که درس کاملاً تئوری بود، برای راحتی شما تصمیم گرفتیم آن را در قالب مقاله نیز ارائه کنیم.
در این دوره به نکات زیر خواهیم پرداخت:
اطلاعات کلی در مورد محصول، هدف، وظایف و ویژگی های کلیدی آن
بیایید یک طرح را آماده کنیم، در طول آماده سازی، نگاهی دقیق به پیکربندی اولیه FortiAnalyzer خواهیم داشت.
بیایید با مکانیسم ذخیره، پردازش و فیلتر کردن لاگ ها برای جستجوی آسان آشنا شویم و مکانیسم FortiView را نیز در نظر بگیریم که اطلاعات بصری وضعیت شبکه را در قالب نمودارها، نمودارها و سایر ویجت های مختلف ارائه می دهد.
بیایید به روند ایجاد گزارش های موجود نگاه کنیم و همچنین یاد بگیریم که چگونه گزارش های خود را ایجاد کرده و گزارش های موجود را ویرایش کنید
بیایید مسائل اصلی مربوط به مدیریت FortiAnalyzer را مرور کنیم
بیایید دوباره در مورد طرح مجوز بحث کنیم - قبلاً در درس 11 دوره در مورد آن صحبت کردم. Fortinet شروع به کاراما همانطور که می گویند تکرار مادر یادگیری است.
هدف اصلی FortiAnalyzer ذخیره سازی متمرکز لاگ ها از یک یا چند دستگاه Fortinet و همچنین پردازش و تجزیه و تحلیل آنها است. این به مدیران امنیتی اجازه می دهد تا رویدادهای مختلف شبکه و امنیتی را از یک مکان نظارت کنند، به سرعت اطلاعات لازم را از گزارش ها و ویجت ها به دست آورند و گزارش هایی را روی همه یا دستگاه های خاص بسازند.
لیست دستگاه هایی که FortiAnalyzer می تواند لاگ ها را از آنها دریافت کند و آنها را تجزیه و تحلیل کند در شکل زیر ارائه شده است.
FortiAnalyzer دارای سه ویژگی کلیدی است: گزارش، هشدار و بایگانی. بیایید به هر یک از آنها نگاه کنیم.
گزارش دهی - گزارش ها نمایشی بصری از رویدادهای شبکه، رویدادهای امنیتی و فعالیت های مختلفی که در دستگاه های پشتیبانی شده رخ می دهند، ارائه می دهند. مکانیزم گزارش دهی داده های لازم را از لاگ های موجود جمع آوری می کند و آنها را به شکلی ارائه می کند که خواندن و تجزیه و تحلیل آسان باشد. با استفاده از گزارش ها می توانید به سرعت اطلاعات لازم در مورد عملکرد دستگاه، امنیت شبکه، پربازدیدترین منابع و غیره را دریافت کنید. انتخاب های زیادی وجود دارد. همچنین می توان از گزارش ها برای تجزیه و تحلیل وضعیت شبکه و دستگاه های پشتیبانی شده در مدت زمان طولانی استفاده کرد. اغلب آنها هنگام بررسی حوادث امنیتی مختلف ضروری هستند.
هشدارها به شما این امکان را می دهند که به سرعت به تهدیدات مختلفی که در شبکه رخ می دهد پاسخ دهید. هنگامی که گزارش هایی ظاهر می شوند که شرایط از پیش پیکربندی شده - شناسایی ویروس، بهره برداری از آسیب پذیری های مختلف و غیره را برآورده می کنند، هشدارهایی را ایجاد می کند. این هشدارها را می توان در رابط وب FortiAnalyzer مشاهده کرد و می توانید ارسال آنها را از طریق پروتکل SNMP، به سرور syslog و همچنین به آدرس های ایمیل خاص پیکربندی کنید.
بایگانی به شما امکان می دهد کپی هایی از محتوای مختلف را که در سراسر شبکه جریان دارد در FortiAnalyzer ذخیره کنید. این معمولاً همراه با موتور DLP برای ذخیره فایلهای مختلفی که تحت قوانین مختلف موتور قرار دارند استفاده میشود. همچنین می تواند برای بررسی حوادث مختلف امنیتی مفید باشد.
یکی دیگر از ویژگی های جالب، امکان استفاده از دامنه های مدیریتی است. این فناوری به شما امکان می دهد گروه هایی از دستگاه ها را بر اساس معیارهای مختلف ایجاد کنید - نوع دستگاه، موقعیت جغرافیایی و غیره. ایجاد چنین گروه های دستگاهی اهداف زیر را دنبال می کند:
گروهبندی دستگاهها بر اساس ویژگیهای مشابه برای سهولت نظارت و مدیریت - برای مثال، دستگاهها بر اساس موقعیت جغرافیایی گروهبندی میشوند. شما باید برخی از اطلاعات را در گزارش های دستگاه های واقع در همان گروه بیابید. به جای فیلتر کردن دقیق گزارشها، به سادگی به گزارشهای مربوط به دامنه مدیریتی مورد نیاز نگاه میکنید و به دنبال اطلاعات لازم میگردید.
برای متمایز کردن دسترسی اداری - هر دامنه مدیریتی می تواند یک یا چند مدیر داشته باشد که فقط به این دامنه اداری دسترسی دارند
مدیریت کارآمد فضای دیسک و خطمشیهای ذخیرهسازی برای دادههای دستگاه - به جای ایجاد یک پیکربندی ذخیرهسازی واحد برای همه دستگاهها، دامنههای اداری به شما امکان میدهند پیکربندیهای مناسبتری را برای گروههای جداگانه دستگاهها تنظیم کنید. این می تواند مفید باشد اگر چندین دستگاه دارید و از یک گروه از دستگاه ها باید داده ها را برای یک سال و از گروه دیگر - 3 سال ذخیره کنید. بر این اساس، می توانید فضای دیسک مناسب را برای هر گروه اختصاص دهید - برای گروهی که تعداد زیادی گزارش تولید می کند، فضای بیشتری را اختصاص دهید و برای گروهی دیگر - فضای کمتری.
FortiAnalyzer می تواند در دو حالت - Analyzer و Collector کار کند. حالت عملیات بسته به نیازهای فردی و توپولوژی شبکه انتخاب می شود.
هنگامی که FortiAnalyzer در حالت Analyzer کار می کند، به عنوان جمع کننده اصلی گزارش ها از یک یا چند جمع کننده گزارش عمل می کند. کلکتورهای گزارش هم FortiAnalyzer در حالت Collector هستند و هم دستگاه های دیگری که توسط FortiAnalyzer پشتیبانی می شوند (لیست آنها در شکل بالا نشان داده شده است). این حالت عملیاتی به طور پیش فرض استفاده می شود.
وقتی FortiAnalyzer در حالت Collector اجرا میشود، گزارشها را از دستگاههای دیگر جمعآوری میکند و سپس آنها را به دستگاه دیگری مانند FortiAnalyzer در حالت Analyzer یا Syslog ارسال میکند. در حالت Collector، FortiAnalyzer نمی تواند از اکثر ویژگی ها مانند گزارش و هشدار استفاده کند، زیرا هدف اصلی آن جمع آوری و ارسال گزارش ها است.
استفاده از چندین دستگاه FortiAnalyzer در حالتهای مختلف میتواند بهرهوری را افزایش دهد - FortiAnalyzer در حالت Collector گزارشها را از همه دستگاهها جمعآوری میکند و آنها را برای تجزیه و تحلیل بعدی به آنالایزر میفرستد، که به FortiAnalyzer در حالت Analyzer اجازه میدهد منابع صرف شده برای دریافت گزارشها از چندین دستگاه را ذخیره کند و کاملاً روی آن تمرکز کند. پردازش لاگ
FortiAnalyzer از زبان پرس و جوی SQL برای ثبت و گزارش پشتیبانی می کند. با کمک آن، سیاهههای مربوط به شکل قابل خواندن ارائه می شوند. همچنین با استفاده از این زبان پرس و جو، گزارش های مختلفی ساخته می شود. برخی از قابلیت های گزارش دهی به دانش SQL و پایگاه داده نیاز دارند، اما قابلیت های داخلی FortiAnalyzer اغلب این دانش را حذف می کند. وقتی مکانیزم گزارش دهی را در نظر بگیریم، دوباره با این موضوع مواجه خواهیم شد.
FortiAnalyzer خود در چندین طعم وجود دارد. این می تواند یک دستگاه فیزیکی جداگانه، یک ماشین مجازی باشد - هایپروایزرهای مختلف پشتیبانی می شوند، لیست کامل آنها را می توان در آن یافت برگه داده. همچنین می تواند در زیرساخت های تخصصی - AWS مستقر شود. Azure، Google Cloud و دیگران. و آخرین گزینه FortiAnalyzer Cloud است، یک سرویس ابری ارائه شده توسط Fortinet.
در درس بعدی یک طرح برای کارهای عملی بعدی آماده خواهیم کرد. برای اینکه آن را از دست ندهید، در ما مشترک شوید کانال یوتیوب.
همچنین می توانید به روز رسانی ها را در منابع زیر دنبال کنید: