Bonjour les amis! Nous sommes heureux de vous accueillir dans notre nouveau cours FortiAnalyzer Getting Started. Sur course Nous avons déjà examiné les fonctionnalités de FortiAnalyzer, mais nous les avons abordées de manière plutôt superficielle. Je veux maintenant vous parler plus en détail de ce produit, de ses buts, objectifs et capacités. Ce cours ne devrait pas être aussi volumineux que le précédent, mais j'espère qu'il sera intéressant et instructif.
Étant donné que la leçon s'est avérée complètement théorique, pour votre commodité, nous avons décidé de la présenter également sous forme d'article.
Au cours de ce cours, nous aborderons les points suivants :
- Informations générales sur le produit, son objectif, ses tâches et ses principales caractéristiques
- Préparons une mise en page, lors de la préparation nous examinerons en détail la configuration initiale de FortiAnalyzer
- Faisons connaissance avec le mécanisme de stockage, de traitement et de filtrage des journaux pour une recherche facile, et considérons également le mécanisme FortiView, qui présente des informations visuelles sur l'état du réseau sous la forme de divers graphiques, diagrammes et autres widgets.
- Examinons le processus de création de rapports existants et apprenons également comment créer vos propres rapports et modifier les rapports existants.
- Passons en revue les principaux problèmes liés à l'administration de FortiAnalyzer
- Parlons à nouveau du système de licence - j'en ai déjà parlé dans la leçon 11 du cours. , mais comme on dit, la répétition est la mère de l’apprentissage.
L'objectif principal de FortiAnalyzer est le stockage centralisé des journaux d'un ou plusieurs appareils Fortinet, ainsi que leur traitement et analyse. Cela permet aux administrateurs de sécurité de surveiller divers événements de réseau et de sécurité à partir d'un seul endroit, d'obtenir rapidement les informations nécessaires à partir des journaux et des widgets et de créer des rapports sur tous les appareils ou sur des appareils spécifiques.
La liste des appareils à partir desquels FortiAnalyzer peut recevoir des journaux et les analyser est présentée dans la figure ci-dessous.
FortiAnalyzer possède trois fonctionnalités clés : reporting, alertes et archivage. Regardons chacun d'eux.
Rapports : les rapports fournissent une représentation visuelle des événements réseau, des événements de sécurité et de diverses activités se produisant sur les appareils pris en charge. Le mécanisme de reporting collecte les données nécessaires à partir des journaux existants et les présente sous une forme facile à lire et à analyser. À l'aide de rapports, vous pouvez obtenir rapidement les informations nécessaires sur les performances de l'appareil, la sécurité du réseau, les ressources les plus visitées, etc. Il existe de nombreuses options. Les rapports peuvent également être utilisés pour analyser l'état du réseau et des appareils pris en charge sur une longue période. Bien souvent, ils sont indispensables lors des enquêtes sur divers incidents de sécurité.
Les alertes vous permettent de répondre rapidement aux diverses menaces survenant sur le réseau. Le système génère des alertes lorsque des journaux apparaissent qui satisfont à des conditions préconfigurées : détection de virus, exploitation de diverses vulnérabilités, etc. Ces alertes sont visibles dans l'interface web de FortiAnalyzer, et vous pouvez configurer leur envoi via le protocole SNMP, vers le serveur syslog, mais également vers des adresses email spécifiques.
L'archivage vous permet de stocker des copies de divers contenus circulant sur le réseau sur FortiAnalyzer. Ceci est généralement utilisé en conjonction avec le moteur DLP pour stocker divers fichiers qui relèvent des différentes règles du moteur. Cela peut également être utile pour enquêter sur divers incidents de sécurité.
Une autre fonctionnalité intéressante est la possibilité d'utiliser des domaines administratifs. Cette technologie vous permet de créer des groupes d'appareils en fonction de divers critères : types d'appareils, emplacement géographique, etc. La création de tels groupes d'appareils répond aux objectifs suivants :
- Regroupement des appareils en fonction de caractéristiques similaires pour faciliter la surveillance et la gestion : par exemple, les appareils sont regroupés par emplacement géographique. Vous devez trouver des informations dans les journaux des appareils situés dans le même groupe. Au lieu de filtrer soigneusement les journaux, il vous suffit de consulter les journaux du domaine administratif requis et de rechercher les informations nécessaires.
- Pour différencier l'accès administratif - chaque domaine administratif peut avoir un ou plusieurs administrateurs qui ont accès uniquement à ce domaine administratif
- Gérez efficacement l'espace disque et les politiques de stockage pour les données des appareils : au lieu de créer une configuration de stockage unique pour tous les appareils, les domaines d'administration vous permettent de définir des configurations plus appropriées pour des groupes individuels d'appareils. Cela peut être utile si vous possédez plusieurs appareils et qu'à partir d'un groupe d'appareils, vous devez stocker des données pendant un an et à partir d'un autre - 3 ans. En conséquence, vous pouvez allouer un espace disque approprié pour chaque groupe - pour un groupe qui génère un grand nombre de journaux, allouez plus d'espace et pour un autre groupe - moins d'espace.
FortiAnalyzer peut fonctionner selon deux modes : Analyseur et Collecteur. Le mode de fonctionnement est sélectionné en fonction des exigences individuelles et de la topologie du réseau.
Lorsque FortiAnalyzer fonctionne en mode Analyseur, il agit comme le principal agrégateur de journaux provenant d'un ou plusieurs collecteurs de journaux. Les collecteurs de journaux sont à la fois FortiAnalyzer en mode Collecteur et d'autres appareils pris en charge par FortiAnalyzer (leur liste est présentée ci-dessus dans la figure). Ce mode de fonctionnement est utilisé par défaut.
Lorsque FortiAnalyzer s'exécute en mode Collecteur, il collecte les journaux d'autres appareils, puis les transmet à un autre appareil, tel que FortiAnalyzer en mode Analyseur ou Syslog. En mode Collecteur, FortiAnalyzer ne peut pas utiliser la plupart des fonctionnalités, telles que les rapports et les alertes, puisque son objectif principal est de collecter et de transférer des journaux.
L'utilisation de plusieurs appareils FortiAnalyzer dans différents modes peut augmenter la productivité - FortiAnalyzer en mode Collecteur collecte les journaux de tous les appareils et les envoie à l'analyseur pour une analyse ultérieure, ce qui permet à FortiAnalyzer en mode Analyseur d'économiser les ressources dépensées pour recevoir les journaux de plusieurs appareils et de se concentrer entièrement sur traitement des journaux.
FortiAnalyzer prend en charge le langage de requête SQL déclaratif pour la journalisation et le reporting. Avec son aide, les journaux sont présentés sous une forme lisible. De plus, à l'aide de ce langage de requête, divers rapports sont créés. Certaines fonctionnalités de reporting nécessitent des connaissances en SQL et en bases de données, mais les fonctionnalités intégrées de FortiAnalyzer éliminent souvent ces connaissances. Nous nous retrouverons à nouveau face à ce problème lorsque nous examinerons le mécanisme de reporting.
FortiAnalyzer lui-même est disponible en plusieurs versions. Il peut s'agir d'un périphérique physique distinct, d'une machine virtuelle - différents hyperviseurs sont pris en charge, leur liste complète peut être trouvée dans . Il peut également être déployé dans des infrastructures spécialisées – AWS. Azure, Google Cloud et autres. Et la dernière option est FortiAnalyzer Cloud, un service cloud fourni par Fortinet.
Dans la prochaine leçon, nous préparerons une mise en page pour d'autres travaux pratiques. Pour ne pas le manquer, abonnez-vous à notre .
Vous pouvez également suivre les mises à jour sur les ressources suivantes :
Source: habr.com