Ola, amigos! Temos o pracer de darche a benvida ao noso novo curso de iniciación a FortiAnalyzer. En curso Xa analizamos a funcionalidade de FortiAnalyzer, pero pasámolo de forma bastante superficial. Agora quero falarvos con máis detalle deste produto, dos seus obxectivos, obxectivos e capacidades. Este curso non debe ser tan voluminoso como o anterior, pero espero que sexa interesante e informativo.
Dado que a lección resultou totalmente teórica, para a súa comodidade decidimos presentala tamén en formato artigo.
Durante este curso trataremos os seguintes puntos:
- Información xeral sobre o produto, a súa finalidade, tarefas e características principais
- Imos preparar un deseño, durante a preparación daremos unha ollada detallada á configuración inicial de FortiAnalyzer
- Coñecemos o mecanismo para almacenar, procesar e filtrar rexistros para facilitar a busca, e tamén consideremos o mecanismo FortiView, que presenta información visual sobre o estado da rede en forma de varios gráficos, diagramas e outros widgets.
- Vexamos o proceso de creación de informes existentes e tamén aprendemos a crear os teus propios informes e a editar os informes existentes
- Imos repasar as principais cuestións relacionadas coa administración de FortiAnalyzer
- Volvamos a discutir o esquema de licenzas - xa falei del na lección 11 do curso. , pero como din, a repetición é a nai da aprendizaxe.
O obxectivo principal de FortiAnalyzer é o almacenamento centralizado de rexistros dun ou máis dispositivos Fortinet, así como o seu procesamento e análise. Isto permite aos administradores de seguridade supervisar varios eventos de rede e de seguranza desde un só lugar, obter rapidamente a información necesaria dos rexistros e widgets e crear informes en todos os dispositivos ou en dispositivos específicos.
A lista de dispositivos desde os que FortiAnalyzer pode recibir rexistros e analizalos preséntase na seguinte figura.
FortiAnalyzer ten tres funcións fundamentais: informes, alertas e arquivo. Vexamos cada un deles.
Informes: os informes proporcionan unha representación visual de eventos de rede, eventos de seguranza e varias actividades que ocorren nos dispositivos compatibles. O mecanismo de informes recolle os datos necesarios dos rexistros existentes e preséntaos nun formulario fácil de ler e analizar. Usando informes, pode obter rapidamente a información necesaria sobre o rendemento do dispositivo, a seguridade da rede, os recursos máis visitados, etc. Hai moitas opcións. Os informes tamén se poden usar para analizar o estado da rede e dos dispositivos compatibles durante un longo período de tempo. Moitas veces son indispensables cando se investigan varios incidentes de seguridade.
As alertas permítenche responder rapidamente a varias ameazas que se producen na rede. O sistema xera alertas cando aparecen rexistros que cumpren as condicións preconfiguradas: detección de virus, explotación de varias vulnerabilidades, etc. Estas alertas pódense ver na interface web de FortiAnalyzer, e pódese configurar o seu envío a través do protocolo SNMP, ao servidor syslog e tamén a enderezos de correo electrónico específicos.
O arquivo permítelle almacenar copias de varios contidos que flúen pola rede no FortiAnalyzer. Normalmente utilízase xunto co motor DLP para almacenar varios ficheiros que están baixo as diferentes regras do motor. Tamén pode ser útil para investigar varios incidentes de seguridade.
Outra característica interesante é a posibilidade de utilizar dominios administrativos. Esta tecnoloxía permítelle crear grupos de dispositivos en función de varios criterios: tipos de dispositivos, localización xeográfica, etc. A creación destes grupos de dispositivos serve para os seguintes propósitos:
- Agrupación de dispositivos en función de características similares para facilitar o seguimento e a xestión; por exemplo, os dispositivos agrúpanse por localización xeográfica. Debes atopar algunha información nos rexistros dos dispositivos situados no mesmo grupo. En lugar de filtrar coidadosamente os rexistros, simplemente mira os rexistros do dominio administrativo necesario e busca a información necesaria.
- Para diferenciar o acceso administrativo: cada dominio administrativo pode ter un ou máis administradores que só teñan acceso a este dominio administrativo
- Xestione de forma eficiente o espazo en disco e as políticas de almacenamento dos datos do dispositivo: en lugar de crear unha única configuración de almacenamento para todos os dispositivos, os dominios administrativos permítenche establecer configuracións máis adecuadas para grupos individuais de dispositivos. Isto pode ser útil se tes varios dispositivos, e dun grupo de dispositivos necesitas almacenar datos durante un ano e doutro 3 anos. En consecuencia, pode asignar espazo de disco axeitado para cada grupo: para un grupo que xere un gran número de rexistros, asignar máis espazo e para outro grupo menos espazo.
FortiAnalyzer pode funcionar en dous modos: analizador e colector. O modo de funcionamento é seleccionado dependendo dos requisitos individuais e da topoloxía da rede.
Cando FortiAnalyzer funciona no modo Analizador, actúa como o agregador principal de rexistros dun ou máis colectores de rexistros. Os colectores de rexistros son tanto FortiAnalyzer en modo Collector como outros dispositivos compatibles con FortiAnalyzer (a súa lista mostrouse arriba na figura). Este modo de funcionamento úsase por defecto.
Cando FortiAnalyzer se executa en modo de recopilación, recolle rexistros doutros dispositivos e despois envíaos a outro dispositivo, como FortiAnalyzer en modo Analyzer ou Syslog. No modo de colector, FortiAnalyzer non pode usar a maioría das funcións, como informes e alertas, xa que o seu obxectivo principal é recoller e reenviar rexistros.
O uso de varios dispositivos FortiAnalyzer en diferentes modos pode aumentar a produtividade: o FortiAnalyzer no modo Collector recolle rexistros de todos os dispositivos e envíaos ao Analizador para a súa posterior análise, o que permite que FortiAnalyzer no modo Analizador aforre os recursos gastados en recibir rexistros de varios dispositivos e céntrase totalmente en procesamento de rexistro.
FortiAnalyzer admite a linguaxe de consulta SQL declarativa para o rexistro e os informes. Coa súa axuda, os rexistros preséntanse nunha forma lexible. Ademais, usando esta linguaxe de consulta, constrúense varios informes. Algunhas capacidades de informes requiren algúns coñecementos de SQL e bases de datos, pero as capacidades integradas de FortiAnalyzer adoitan eliminar este coñecemento. Volveremos a atopar isto cando consideremos o mecanismo de notificación.
O propio FortiAnalyzer vén en varios sabores. Este pode ser un dispositivo físico separado, unha máquina virtual; son compatibles con diferentes hipervisores, a súa lista completa pódese atopar en . Tamén se pode despregar en infraestruturas especializadas - AWS. Azure, Google Cloud e outros. E a última opción é FortiAnalyzer Cloud, un servizo na nube proporcionado por Fortinet.
Na seguinte lección prepararemos un esquema para o traballo práctico posterior. Para non perdértelo, subscríbete ao noso .
Tamén podes seguir as actualizacións dos seguintes recursos:
Fonte: www.habr.com