Pozdrav prijatelji! Zadovoljstvo nam je poželjeti vam dobrodošlicu na naš novi tečaj za početak rada s FortiAnalyzerom. Na tečaju Već smo se osvrnuli na funkcionalnost FortiAnalyzera, ali smo kroz nju prošli prilično površno. Sada vam želim detaljnije reći o ovom proizvodu, o njegovim ciljevima, ciljevima i mogućnostima. Ovaj tečaj ne bi trebao biti obiman kao prethodni, ali se nadam da će biti zanimljiv i poučan.
Budući da se lekcija pokazala potpuno teoretskom, radi vaše udobnosti odlučili smo je predstaviti iu obliku članka.
Tijekom ovog tečaja pokrit ćemo sljedeće točke:
- Opće informacije o proizvodu, njegovoj namjeni, zadaćama i ključnim značajkama
- Pripremimo izgled, tijekom pripreme ćemo detaljno pogledati početnu konfiguraciju FortiAnalyzera
- Upoznajmo se s mehanizmom za pohranjivanje, obradu i filtriranje zapisa za jednostavno pretraživanje, a također razmotrimo mehanizam FortiView koji prikazuje vizualne informacije o stanju mreže u obliku raznih grafikona, dijagrama i drugih widgeta.
- Pogledajmo proces stvaranja postojećih izvješća i naučimo kako izraditi vlastita izvješća i urediti postojeća izvješća
- Prođimo kroz glavna pitanja vezana uz administraciju FortiAnalyzera
- Raspravljajmo ponovno o shemi licenciranja - već sam govorio o tome u 11. lekciji tečaja. , ali kako kažu, ponavljanje je majka učenja.
Glavna svrha FortiAnalyzera je centralizirano pohranjivanje logova s jednog ili više Fortinet uređaja, kao i njihova obrada i analiza. To omogućuje sigurnosnim administratorima praćenje različitih mrežnih i sigurnosnih događaja s jednog mjesta, brzo dobivanje potrebnih informacija iz zapisa i widgeta te izradu izvješća o svim ili određenim uređajima.
Popis uređaja s kojih FortiAnalyzer može primati zapise i analizirati ih prikazan je na slici ispod.
FortiAnalyzer ima tri ključne značajke: izvješćivanje, upozorenja i arhiviranje. Pogledajmo svaki od njih.
Izvješćivanje - Izvješća pružaju vizualni prikaz mrežnih događaja, sigurnosnih događaja i raznih aktivnosti koje se odvijaju na podržanim uređajima. Mehanizam za izvješćivanje prikuplja potrebne podatke iz postojećih dnevnika i predstavlja ih u obliku lakom za čitanje i analizu. Pomoću izvješća možete brzo dobiti potrebne informacije o performansama uređaja, sigurnosti mreže, najposjećenijim resursima i tako dalje. Postoji puno opcija. Izvješća se također mogu koristiti za analizu statusa mreže i podržanih uređaja tijekom dugog vremenskog razdoblja. Nerijetko su nezamjenjivi prilikom istraživanja raznih sigurnosnih incidenata.
Upozorenja vam omogućuju da brzo odgovorite na razne prijetnje koje se pojavljuju na mreži. Sustav generira upozorenja kada se pojave zapisi koji zadovoljavaju unaprijed konfigurirane uvjete - otkrivanje virusa, iskorištavanje raznih ranjivosti i tako dalje. Ova upozorenja se mogu vidjeti u FortiAnalyzer web sučelju, a možete konfigurirati njihovo slanje putem SNMP protokola, na syslog poslužitelj, kao i na određene adrese e-pošte.
Arhiviranje vam omogućuje da na FortiAnalyzeru pohranite kopije različitog sadržaja koji teče mrežom. To se obično koristi u kombinaciji s DLP mehanizmom za pohranjivanje raznih datoteka koje potpadaju pod različita pravila mehanizma. Također može biti koristan za istraživanje raznih sigurnosnih incidenata.
Još jedna zanimljiva značajka je mogućnost korištenja administrativnih domena. Ova vam tehnologija omogućuje stvaranje grupa uređaja na temelju različitih kriterija - vrste uređaja, geografski položaj i tako dalje. Stvaranje takvih grupa uređaja služi u sljedeće svrhe:
- Grupiranje uređaja na temelju sličnih karakteristika radi lakšeg nadzora i upravljanja—na primjer, uređaji su grupirani prema geografskoj lokaciji. Morate pronaći neke informacije u zapisima za uređaje koji se nalaze u istoj grupi. Umjesto pažljivog filtriranja zapisa, jednostavno pogledate zapise za potrebnu administrativnu domenu i potražite potrebne informacije.
- Za razlikovanje administrativnog pristupa - svaka administrativna domena može imati jednog ili više administratora koji imaju pristup samo ovoj administrativnoj domeni
- Učinkovito upravljajte diskovnim prostorom i pravilima za pohranu podataka uređaja - Umjesto stvaranja jedinstvene konfiguracije pohrane za sve uređaje, administrativne domene omogućuju vam postavljanje prikladnijih konfiguracija za pojedinačne grupe uređaja. Ovo može biti korisno ako imate nekoliko uređaja, a s jedne grupe uređaja trebate pohraniti podatke godinu dana, a s druge - 3 godine. U skladu s tim, za svaku grupu možete dodijeliti odgovarajući prostor na disku - za grupu koja generira veliki broj zapisa dodijelite više prostora, a za drugu grupu - manje prostora.
FortiAnalyzer može raditi u dva načina - Analyzer i Collector. Način rada odabire se ovisno o individualnim zahtjevima i topologiji mreže.
Kada FortiAnalyzer radi u načinu rada Analyzer, on djeluje kao primarni agregator zapisa iz jednog ili više sakupljača zapisa. Sakupljači dnevnika su i FortiAnalyzer u načinu rada Collector i drugi uređaji koje FortiAnalyzer podržava (njihov popis prikazan je na slici iznad). Ovaj način rada se koristi prema zadanim postavkama.
Kada FortiAnalyzer radi u načinu rada Collector, on prikuplja zapise s drugih uređaja i zatim ih prosljeđuje drugom uređaju, kao što je FortiAnalyzer u načinu rada Analyzer ili Syslog. U načinu rada Collector, FortiAnalyzer ne može koristiti većinu značajki, kao što su izvješća i upozorenja, budući da mu je glavna svrha prikupljanje i prosljeđivanje zapisa.
Korištenje više FortiAnalyzer uređaja u različitim načinima rada može povećati produktivnost - FortiAnalyzer u Collector modu prikuplja zapise sa svih uređaja i šalje ih Analyzeru za naknadnu analizu, što omogućuje FortiAnalyzeru u Analyzer modu da uštedi resurse potrošene na primanje zapisa s više uređaja i u potpunosti se usredotoči na obrada dnevnika.
FortiAnalyzer podržava deklarativni jezik SQL upita za bilježenje i izvješćivanje. Uz njegovu pomoć, dnevnici se prikazuju u čitljivom obliku. Također, korištenjem ovog upitnog jezika izrađuju se razna izvješća. Neke mogućnosti izvješćivanja zahtijevaju određeno znanje SQL-a i baze podataka, ali ugrađene mogućnosti FortiAnalyzera često eliminiraju to znanje. S tim ćemo se ponovno susresti kada budemo razmatrali mehanizam izvješćivanja.
Sam FortiAnalyzer dolazi u nekoliko okusa. To može biti zasebni fizički uređaj, virtualni stroj - podržani su različiti hipervizori, njihov puni popis možete pronaći u . Također se može implementirati u specijalizirane infrastrukture - AWS. Azure, Google Cloud i drugi. I zadnja opcija je FortiAnalyzer Cloud, usluga u oblaku koju nudi Fortinet.
U sljedećem satu pripremit ćemo izgled za daljnji praktični rad. Kako ga ne biste propustili, pretplatite se na naš .
Također možete pratiti ažuriranja na sljedećim resursima:
Izvor: www.habr.com