Salutations! Bienvenue à la neuvième leçon du cours . sur Nous avons examiné les mécanismes de base pour contrôler l'accès des utilisateurs à diverses ressources. Nous avons maintenant une autre tâche : nous devons analyser le comportement des utilisateurs sur le réseau et également configurer la réception de données qui peuvent aider à enquêter sur divers incidents de sécurité. Par conséquent, dans cette leçon, nous examinerons le mécanisme de journalisation et de reporting. Pour cela, nous aurons besoin de FortiAnalyzer, que nous avons déployé au début du cours. La théorie nécessaire, ainsi qu'un cours vidéo, sont disponibles sous la coupe.
Dans FotiGate, les journaux sont divisés en trois types : les journaux de trafic, les journaux d'événements et les journaux de sécurité. Ils sont à leur tour divisés en sous-types.
Les journaux de trafic enregistrent les informations sur le flux de trafic telles que les demandes et les réponses, le cas échéant. Ce type contient les sous-types Forward, Local et Sniffer.
Le sous-type Forward contient des informations sur le trafic que le FortiGate a accepté ou rejeté en fonction des politiques de pare-feu.
Le sous-type Local contient des informations sur le trafic directement à partir de l'adresse IP FortiGate et des adresses IP à partir desquelles l'administration est effectuée. Par exemple, les connexions à l'interface Web FortiGate.
Le sous-type Sniffer contient des journaux de trafic obtenus à l'aide de la mise en miroir du trafic.
Les journaux d'événements contiennent des événements système ou administratifs, tels que l'ajout ou la modification de paramètres, l'établissement et la rupture de tunnels VPN, les événements de routage dynamique, etc. Tous les sous-types sont présentés dans la figure ci-dessous.
Et le troisième type concerne les journaux de sécurité. Ces journaux enregistrent les événements liés aux attaques de virus, aux visites de ressources interdites, à l'utilisation d'applications interdites, etc. La liste complète est également présentée dans la figure ci-dessous.
Vous pouvez stocker les journaux à différents endroits, à la fois sur le FortiGate lui-même et à l'extérieur. Le stockage des journaux sur le FortiGate est considéré comme une journalisation locale. En fonction de l'appareil lui-même, les journaux peuvent être stockés soit dans la mémoire flash de l'appareil, soit sur le disque dur. En règle générale, les modèles du milieu ont un disque dur. Les modèles avec disque dur sont assez faciles à distinguer : il y a une unité à la fin. Par exemple, le FortiGate 100E est livré sans disque dur et le FortiGate 101E est livré avec un disque dur.
Les modèles plus jeunes et plus anciens n’ont généralement pas de disque dur. Dans ce cas, la mémoire flash est utilisée pour enregistrer les journaux. Cependant, il convient de considérer que l'écriture constante de journaux dans la mémoire flash peut réduire son efficacité et sa durée de vie. Par conséquent, l'écriture des journaux dans la mémoire flash est désactivée par défaut. Il est recommandé de l'activer uniquement pour la journalisation des événements tout en résolvant des problèmes spécifiques.
Lors d’un enregistrement intensif de journaux, peu importe le disque dur ou la mémoire flash, les performances de l’appareil diminueront.
Il est assez courant de stocker les journaux sur des serveurs distants. FortiGate peut stocker les journaux sur les serveurs Syslog, FortiAnalyzer ou FortiManager. Vous pouvez également utiliser le service cloud FortiCloud pour stocker les journaux.
Syslog est un serveur permettant de stocker de manière centralisée les journaux des périphériques réseau.
FortiCloud est un service de gestion de la sécurité et de stockage de journaux par abonnement. Avec son aide, vous pouvez stocker des journaux à distance et créer des rapports appropriés. Si vous disposez d’un réseau assez petit, une bonne solution peut être d’utiliser ce service cloud plutôt que d’acheter du matériel supplémentaire. Il existe une version gratuite de FortiCloud qui inclut le stockage hebdomadaire des journaux. Après avoir acheté un abonnement, les journaux peuvent être stockés pendant un an.
FortiAnalyzer et FortiManager sont des périphériques de stockage de journaux externes. Du fait qu'ils ont tous le même système d'exploitation - FortiOS - l'intégration de FortiGate avec ces appareils ne présente aucune difficulté.
Cependant, il existe des différences à noter entre les appareils FortiAnalyzer et FortiManager. L'objectif principal de FortiManager est la gestion centralisée de plusieurs appareils FortiGate. Par conséquent, la quantité de mémoire pour stocker les journaux sur FortiManager est nettement inférieure à celle sur FortiAnalyzer (si, bien sûr, nous comparons des modèles du même segment de prix).
L'objectif principal de FortiAnalyzer est précisément de collecter et d'analyser les journaux. Par conséquent, nous envisagerons davantage de travailler avec lui dans la pratique.
L'ensemble de la théorie, ainsi que la partie pratique, est présenté dans cette leçon vidéo :
Dans la leçon suivante, nous aborderons les bases de l'administration d'une unité FortiGate. Pour ne pas le manquer, suivez l'actualité sur les chaînes suivantes :
Source: habr.com