Terveisiä! Tervetuloa kurssin yhdeksännelle tunnille . päälle Tutkimme perusmekanismeja käyttäjien pääsyn hallintaan eri resursseihin. Nyt meillä on toinen tehtävä - meidän on analysoitava käyttäjien käyttäytymistä verkossa ja myös määritettävä tietojen vastaanottaminen, jotka voivat auttaa erilaisten tietoturvahäiriöiden tutkinnassa. Siksi tällä oppitunnilla tarkastelemme loki- ja raportointimekanismia. Tätä varten tarvitsemme FortiAnalyzerin, jonka otimme käyttöön kurssin alussa. Tarvittava teoria sekä videotunti ovat saatavilla leikkauksen alta.
FotiGatessa lokit jaetaan kolmeen tyyppiin: liikennelokit, tapahtumalokit ja suojauslokit. Ne puolestaan jaetaan alatyyppeihin.
Liikennelokit tallentavat liikennetiedot, kuten pyynnöt ja vastaukset, jos sellaisia on. Tämä tyyppi sisältää alatyypit Forward, Local ja Sniffer.
Forward-alatyyppi sisältää tietoja liikenteestä, jonka FortiGate on joko hyväksynyt tai hylännyt palomuurikäytäntöjen perusteella.
Paikallinen alatyyppi sisältää tiedot liikenteestä suoraan FortiGate IP-osoitteesta ja IP-osoitteista, joista hallinto suoritetaan. Esimerkiksi yhteydet FortiGate-verkkokäyttöliittymään.
Sniffer-alatyyppi sisältää lokit liikenteestä, joka on saatu liikenteen peilauksella.
Tapahtumalokit sisältävät järjestelmä- tai hallintatapahtumia, kuten parametrien lisäämisen tai muuttamisen, VPN-tunnelien luomisen ja katkaisun, dynaamiset reititystapahtumat ja niin edelleen. Kaikki alatyypit on esitetty alla olevassa kuvassa.
Ja kolmas tyyppi on suojauslokit. Nämä lokit tallentavat tapahtumia, jotka liittyvät virushyökkäyksiin, vierailuihin kiellettyihin resursseihin, kiellettyjen sovellusten käyttöön ja niin edelleen. Täydellinen luettelo on myös alla olevassa kuvassa.
Voit tallentaa lokit eri paikkoihin - sekä itse FortiGateen että sen ulkopuolelle. Lokien tallentaminen FortiGateen katsotaan paikalliseksi kirjaamiseksi. Itse laitteesta riippuen lokit voidaan tallentaa joko laitteen flash-muistiin tai kiintolevylle. Yleensä keskimalleissa on kiintolevy. Kiintolevyllä varustetut mallit on melko helppo erottaa - lopussa on yksikkö. Esimerkiksi FortiGate 100E tulee ilman kiintolevyä ja FortiGate 101E tulee kovalevyn kanssa.
Nuoremmissa ja vanhemmissa malleissa ei yleensä ole kovalevyä. Tässä tapauksessa lokien tallentamiseen käytetään flash-muistia. On kuitenkin syytä ottaa huomioon, että lokien jatkuva kirjoittaminen flash-muistiin voi vähentää sen tehokkuutta ja käyttöikää. Siksi lokien kirjoittaminen flash-muistiin on oletusarvoisesti poissa käytöstä. On suositeltavaa ottaa se käyttöön vain tapahtumien kirjaamiseen tiettyjen ongelmien ratkaisemisen aikana.
Kun lokeja tallennetaan intensiivisesti, sillä ei ole väliä kiintolevylle tai flash-muistille, laitteen suorituskyky heikkenee.
On melko yleistä tallentaa lokit etäpalvelimille. FortiGate voi tallentaa lokit Syslog-palvelimiin, FortiAnalyzeriin tai FortiManageriin. Voit myös käyttää FortiCloud-pilvipalvelua lokien tallentamiseen.
Syslog on palvelin verkkolaitteiden lokien keskitettyyn tallentamiseen.
FortiCloud on tilauspohjainen tietoturvan hallinta- ja lokitallennuspalvelu. Sen avulla voit tallentaa lokit etänä ja luoda sopivia raportteja. Jos verkkosi on melko pieni, hyvä ratkaisu voi olla käyttää tätä pilvipalvelua lisälaitteiden ostamisen sijaan. FortiCloudista on ilmainen versio, joka sisältää viikoittaisen lokitallennustilan. Tilauksen ostamisen jälkeen lokit voidaan säilyttää vuoden ajan.
FortiAnalyzer ja FortiManager ovat ulkoisia lokitallennuslaitteita. Koska niillä kaikilla on sama käyttöjärjestelmä - FortiOS - FortiGaten integrointi näihin laitteisiin ei aiheuta vaikeuksia.
FortiAnalyzer- ja FortiManager-laitteiden välillä on kuitenkin eroja. FortiManagerin päätarkoitus on useiden FortiGate-laitteiden keskitetty hallinta - siksi FortiManagerin lokien tallentamiseen käytettävä muisti on huomattavasti pienempi kuin FortiAnalyzerissa (jos tietysti vertaamme saman hintasegmentin malleja).
FortiAnalyzerin päätarkoitus on juuri kerätä ja analysoida lokeja. Siksi harkitsemme edelleen työskentelyä sen kanssa käytännössä.
Koko teoria sekä käytännön osa esitetään tässä videotunnissa:
Seuraavalla oppitunnilla käymme läpi FortiGate-yksikön hallinnan perusteet. Seuraa seuraavien kanavien päivityksiä, jotta et missaa sitä:
Lähde: will.com