با درود! به درس نهم دوره خوش آمدید . بر ما مکانیسم های اساسی برای کنترل دسترسی کاربر به منابع مختلف را بررسی کردیم. اکنون وظیفه دیگری داریم - ما باید رفتار کاربران را در شبکه تجزیه و تحلیل کنیم و همچنین دریافت داده هایی را پیکربندی کنیم که می تواند در بررسی حوادث مختلف امنیتی کمک کند. بنابراین، در این درس به مکانیسم ثبت و گزارش دهی می پردازیم. برای این کار، به FortiAnalyzer نیاز داریم که در ابتدای دوره آن را مستقر کردیم. تئوری لازم و همچنین یک درس ویدیویی در زیر برش موجود است.
در FotiGate، لاگ ها به سه نوع تقسیم می شوند: گزارش های ترافیک، گزارش رویدادها و گزارش های امنیتی. آنها به نوبه خود به زیرگروه ها تقسیم می شوند.
گزارشهای ترافیک اطلاعات جریان ترافیک مانند درخواستها و پاسخها را در صورت وجود ثبت میکنند. این نوع شامل زیرگروه های Forward، Local و Sniffer است.
زیرنوع Forward حاوی اطلاعاتی در مورد ترافیک است که FortiGate بر اساس سیاست های فایروال پذیرفته یا رد کرده است.
نوع فرعی محلی حاوی اطلاعاتی در مورد ترافیک مستقیماً از آدرس IP FortiGate و از آدرس های IP است که مدیریت از آنها انجام می شود. به عنوان مثال، اتصالات به رابط وب FortiGate.
زیرمجموعه Sniffer شامل گزارش هایی از ترافیک است که با استفاده از آینه سازی ترافیک به دست آمده است.
گزارشهای رویداد حاوی رویدادهای سیستمی یا اداری هستند، مانند افزودن یا تغییر پارامترها، ایجاد و شکستن تونلهای VPN، رویدادهای مسیریابی پویا و غیره. تمامی زیرگروه ها در شکل زیر ارائه شده اند.
و نوع سوم، لاگ های امنیتی است. این لاگ ها رویدادهای مربوط به حملات ویروس، بازدید از منابع ممنوعه، استفاده از برنامه های ممنوعه و غیره را ثبت می کنند. لیست کامل نیز در شکل زیر ارائه شده است.
میتوانید سیاههها را در مکانهای مختلف ذخیره کنید - هم در خود FortiGate و هم در خارج از آن. ذخیرهسازی گزارشها در FortiGate به عنوان گزارش محلی در نظر گرفته میشود. بسته به خود دستگاه، گزارش ها را می توان در حافظه فلش دستگاه یا در هارد دیسک ذخیره کرد. به عنوان یک قاعده، مدل های وسط دارای هارد دیسک هستند. تشخیص مدل های دارای هارد دیسک بسیار آسان است - یک واحد در انتها وجود دارد. به عنوان مثال، FortiGate 100E بدون هارد دیسک و FortiGate 101E با هارد دیسک عرضه می شود.
مدل های جوان تر و قدیمی تر معمولاً هارد دیسک ندارند. در این حالت از فلش مموری برای ثبت لاگ ها استفاده می شود. با این حال، شایان ذکر است که نوشتن مدام لاگ روی حافظه فلش می تواند کارایی و عمر مفید آن را کاهش دهد. بنابراین نوشتن گزارش در حافظه فلش به طور پیش فرض غیرفعال است. توصیه می شود در حین حل مشکلات خاص، آن را فقط برای ثبت رویدادها فعال کنید.
هنگام ضبط فشرده گزارش ها، برای هارد یا فلش مموری مهم نیست، عملکرد دستگاه کاهش می یابد.
ذخیره کردن گزارش ها در سرورهای راه دور بسیار رایج است. FortiGate میتواند گزارشها را در سرورهای Syslog، FortiAnalyzer یا FortiManager ذخیره کند. همچنین می توانید از سرویس ابری FortiCloud برای ذخیره گزارش ها استفاده کنید.
Syslog سروری برای ذخیره سازی مرکزی گزارش ها از دستگاه های شبکه است.
FortiCloud یک سرویس مدیریت امنیتی و ذخیرهسازی گزارش مبتنی بر اشتراک است. با کمک آن می توانید از راه دور لاگ ها را ذخیره کرده و گزارش های مناسب بسازید. اگر شبکه نسبتاً کوچکی دارید، یک راه حل خوب ممکن است استفاده از این سرویس ابری به جای خرید تجهیزات اضافی باشد. یک نسخه رایگان از FortiCloud وجود دارد که شامل ذخیرهسازی گزارش هفتگی است. پس از خرید اشتراک، سیاههها را می توان به مدت یک سال ذخیره کرد.
FortiAnalyzer و FortiManager دستگاههای ذخیرهسازی گزارش خارجی هستند. با توجه به این واقعیت که همه آنها سیستم عامل یکسانی دارند - FortiOS - ادغام FortiGate با این دستگاه ها هیچ مشکلی ایجاد نمی کند.
با این حال، تفاوت هایی بین دستگاه های FortiAnalyzer و FortiManager وجود دارد. هدف اصلی FortiManager مدیریت متمرکز چندین دستگاه FortiGate است - بنابراین، مقدار حافظه برای ذخیره گزارش ها در FortiManager به طور قابل توجهی کمتر از FortiAnalyzer است (البته اگر مدل هایی را از همان بخش قیمت مقایسه کنیم).
هدف اصلی FortiAnalyzer دقیقاً جمع آوری و تجزیه و تحلیل گزارش ها است. بنابراین، کار با آن را در عمل بیشتر در نظر خواهیم گرفت.
کل تئوری و همچنین بخش عملی در این درس ویدیویی ارائه شده است:
در درس بعدی، اصول مدیریت یک واحد فورتی گیت را پوشش خواهیم داد. برای اینکه آن را از دست ندهید، به روز رسانی ها را در کانال های زیر دنبال کنید:
منبع: www.habr.com