Hei ystävät! Meillä on ilo toivottaa sinut tervetulleeksi uudelle FortiAnalyzer Getting Started -kurssillemme. Kurssilla Olemme jo tutustuneet FortiAnalyzerin toimivuuteen, mutta kävimme sen läpi melko pinnallisesti. Nyt haluan kertoa sinulle yksityiskohtaisemmin tästä tuotteesta, sen tavoitteista, tavoitteista ja ominaisuuksista. Tämän kurssin ei pitäisi olla yhtä laaja kuin edellinen, mutta toivon, että se on mielenkiintoinen ja informatiivinen.
Koska oppitunti osoittautui täysin teoreettiseksi, päätimme esittää sen myös artikkelimuodossa.
Tämän kurssin aikana käsittelemme seuraavia asioita:
- Yleistä tietoa tuotteesta, sen tarkoituksesta, tehtävistä ja tärkeimmistä ominaisuuksista
- Valmistellaan asettelu, valmistelun aikana tarkastellaan yksityiskohtaisesti FortiAnalyzerin alkukokoonpanoa
- Tutustutaan lokien tallennus-, käsittely- ja suodatusmekanismiin hakujen helpottamiseksi, ja harkitaan myös FortiView-mekanismia, joka esittää visuaalista tietoa verkon tilasta erilaisten kaavioiden, kaavioiden ja muiden widgetien muodossa.
- Katsotaanpa olemassa olevien raporttien luomisprosessia ja opitaan myös luomaan omia raportteja ja muokkaamaan olemassa olevia raportteja
- Käydään läpi tärkeimmät FortiAnalyzer-hallintaan liittyvät ongelmat
- Keskustellaan taas lisenssijärjestelmästä - puhuin siitä jo kurssin oppitunnilla 11. , mutta kuten sanotaan, toisto on oppimisen äiti.
FortiAnalyzerin päätarkoitus on lokien keskitetty tallennus yhdestä tai useammasta Fortinet-laitteesta sekä niiden käsittely ja analysointi. Tämän ansiosta tietoturvajärjestelmänvalvojat voivat valvoa erilaisia verkko- ja tietoturvatapahtumia yhdestä paikasta, saada nopeasti tarvittavat tiedot lokeista ja widgeteistä ja rakentaa raportteja kaikista tai tietyistä laitteista.
Alla olevassa kuvassa on luettelo laitteista, joista FortiAnalyzer voi vastaanottaa lokeja ja analysoida niitä.
FortiAnalyzerissa on kolme keskeistä ominaisuutta: raportointi, hälytykset ja arkistointi. Katsotaanpa jokaista niistä.
Raportointi – Raportit tarjoavat visuaalisen esityksen verkkotapahtumista, tietoturvatapahtumista ja erilaisista tuetuissa laitteissa tapahtuvista toiminnoista. Raportointimekanismi kerää tarvittavat tiedot olemassa olevista lokeista ja esittää ne helposti luettavassa ja analysoitavassa muodossa. Raporttien avulla saat nopeasti tarvittavat tiedot laitteen suorituskyvystä, verkon suojauksesta, käytetyimmistä resursseista ja niin edelleen. Vaihtoehtoja on paljon. Raporttien avulla voidaan myös analysoida verkon ja tuettujen laitteiden tilaa pitkällä aikavälillä. Melko usein ne ovat välttämättömiä erilaisten turvallisuuspoikkeamien tutkinnassa.
Hälytysten avulla voit reagoida nopeasti erilaisiin verkossa esiintyviin uhkiin. Järjestelmä luo hälytyksiä, kun näkyviin tulee lokeja, jotka täyttävät ennalta määritetyt ehdot - virusten havaitseminen, erilaisten haavoittuvuuksien hyödyntäminen ja niin edelleen. Nämä hälytykset näkyvät FortiAnalyzer-verkkoliittymässä, ja voit määrittää niiden lähettämisen SNMP-protokollan kautta syslog-palvelimelle ja myös tiettyihin sähköpostiosoitteisiin.
Arkistoinnin avulla voit tallentaa kopioita eri verkossa virtaavasta sisällöstä FortiAnalyzeriin. Tätä käytetään yleensä yhdessä DLP-moottorin kanssa erilaisten tiedostojen tallentamiseen, jotka kuuluvat moottorin eri sääntöjen piiriin. Se voi olla hyödyllinen myös erilaisten tietoturvahäiriöiden tutkinnassa.
Toinen mielenkiintoinen ominaisuus on kyky käyttää hallinnollisia verkkotunnuksia. Tämän tekniikan avulla voit luoda laiteryhmiä eri kriteerien perusteella - laitetyypit, maantieteellinen sijainti ja niin edelleen. Tällaisten laiteryhmien luominen palvelee seuraavia tarkoituksia:
- Laitteiden ryhmittely samanlaisten ominaisuuksien perusteella valvonnan ja hallinnan helpottamiseksi – esimerkiksi laitteet ryhmitellään maantieteellisen sijainnin mukaan. Sinun on löydettävä tietoja samassa ryhmässä olevien laitteiden lokeista. Sen sijaan, että suodatat lokit huolellisesti, katsot vain vaaditun järjestelmänvalvojan toimialueen lokeja ja etsit tarvittavat tiedot.
- Ylläpitäjän käyttöoikeuksien erottaminen: jokaisella järjestelmänvalvojan toimialueella voi olla yksi tai useampi järjestelmänvalvoja, jolla on pääsy vain tähän järjestelmänvalvojan verkkotunnukseen
- Hallitse tehokkaasti levytilaa ja laitetietojen tallennuskäytäntöjä – Sen sijaan, että luot yhden tallennuskokoonpanon kaikille laitteille, järjestelmänvalvojan toimialueet antavat sinun määrittää sopivampia määrityksiä yksittäisille laiteryhmille. Tästä voi olla hyötyä, jos sinulla on useita laitteita ja yhdestä laiteryhmästä sinun on säilytettävä tietoja vuoden ajan ja toisesta - 3 vuotta. Vastaavasti voit varata sopivaa levytilaa kullekin ryhmälle - ryhmälle, joka tuottaa suuren määrän lokeja, varata enemmän tilaa ja toiselle ryhmälle - vähemmän tilaa.
FortiAnalyzer voi toimia kahdessa tilassa - Analyzer ja Collector. Toimintatapa valitaan yksilöllisten vaatimusten ja verkkotopologian mukaan.
Kun FortiAnalyzer toimii Analyzer-tilassa, se toimii ensisijaisena lokien kokoajana yhdestä tai useammasta lokikerääjästä. Lokinkerääjät ovat sekä FortiAnalyzer Collector-tilassa että muita FortiAnalyzerin tukemia laitteita (niiden luettelo on esitetty yllä kuvassa). Tätä toimintatilaa käytetään oletusarvoisesti.
Kun FortiAnalyzer toimii Collector-tilassa, se kerää lokit muista laitteista ja välittää ne sitten toiselle laitteelle, kuten FortiAnalyzer Analyzer- tai Syslog-tilassa. Keräilijätilassa FortiAnalyzer ei voi käyttää useimpia ominaisuuksia, kuten raportointia ja hälytyksiä, koska sen päätarkoitus on kerätä ja välittää lokeja.
Useiden FortiAnalyzer-laitteiden käyttäminen eri tiloissa voi lisätä tuottavuutta - FortiAnalyzer Collector-tilassa kerää lokit kaikista laitteista ja lähettää ne analysaattoriin myöhempää analysointia varten, mikä antaa FortiAnalyzerille Analyzer-tilassa säästää resursseja, jotka kuluu lokien vastaanottamiseen useilta laitteilta ja keskittyä kokonaan lokin käsittely.
FortiAnalyzer tukee deklaratiivista SQL-kyselykieltä kirjaamiseen ja raportointiin. Sen avulla lokit esitetään luettavassa muodossa. Lisäksi tällä kyselykielellä luodaan erilaisia raportteja. Jotkut raportointiominaisuudet vaativat jonkin verran SQL- ja tietokantatuntemusta, mutta FortiAnalyzerin sisäänrakennetut ominaisuudet usein poistavat tämän tiedon. Tulemme kohtaamaan tämän uudelleen, kun tarkastelemme raportointimekanismia.
Itse FortiAnalyzer on saatavana useissa eri makuissa. Tämä voi olla erillinen fyysinen laite, virtuaalikone - erilaisia hypervisoreita tuetaan, niiden täydellinen luettelo löytyy . Se voidaan ottaa käyttöön myös erikoistuneissa infrastruktuureissa - AWS. Azure, Google Cloud ja muut. Ja viimeinen vaihtoehto on FortiAnalyzer Cloud, Fortinetin tarjoama pilvipalvelu.
Seuraavalla oppitunnilla valmistelemme layoutin jatkoa varten. Tilaa palvelumme, jotta et missaa sitä .
Voit myös seurata päivityksiä seuraavissa resursseissa:
Lähde: will.com