Halo teman teman! Kami dengan senang hati menyambut Anda di kursus Memulai FortiAnalyzer kami yang baru. Tentu saja Kami telah melihat fungsi FortiAnalyzer, tetapi kami membahasnya secara dangkal. Sekarang saya ingin memberi tahu Anda lebih banyak tentang produk ini, tentang tujuan, sasaran, dan kemampuannya. Kursus ini mungkin tidak sebanyak kursus sebelumnya, tapi saya harap kursus ini menarik dan informatif.
Karena pelajaran ini ternyata sepenuhnya bersifat teoretis, demi kenyamanan Anda, kami memutuskan untuk menyajikannya juga dalam format artikel.
Selama kursus ini kami akan membahas poin-poin berikut:
- Informasi umum tentang produk, tujuan, tugas, dan fitur utamanya
- Mari kita siapkan layoutnya, selama persiapan kita akan mempertimbangkan secara detail konfigurasi awal FortiAnalyzer
- Mari berkenalan dengan mekanisme penyimpanan, pemrosesan, dan pemfilteran log untuk memudahkan pencarian, serta pertimbangkan juga mekanisme FortiView, yang menyajikan informasi visual tentang keadaan jaringan dalam bentuk berbagai grafik, diagram, dan widget lainnya
- Mari kita lihat proses pembuatan laporan yang ada, dan pelajari juga cara membuat laporan sendiri dan mengedit laporan yang ada
- Mari kita bahas masalah utama terkait administrasi FortiAnalyzer
- Mari kita bahas skema perizinan lagi - saya sudah membicarakannya di pelajaran 11 kursus ini. , tapi seperti kata mereka, pengulangan adalah ibu dari pembelajaran.
Tujuan utama FortiAnalyzer adalah penyimpanan log terpusat dari satu atau lebih perangkat Fortinet, serta pemrosesan dan analisisnya. Hal ini memungkinkan administrator keamanan untuk memantau berbagai peristiwa jaringan dan keamanan dari satu tempat, dengan cepat memperoleh informasi yang diperlukan dari log dan widget, dan membuat laporan pada semua atau perangkat yang diinginkan.
Daftar perangkat tempat FortiAnalyzer dapat menerima log dan menganalisisnya disajikan pada gambar di bawah.
FortiAnalyzer memiliki tiga fitur utama: pelaporan, peringatan, dan pengarsipan. Mari kita lihat masing-masingnya.
Pelaporan - Laporan memberikan representasi visual peristiwa jaringan, peristiwa keamanan, dan berbagai aktivitas yang terjadi pada perangkat yang didukung. Mekanisme pelaporan mengumpulkan data yang diperlukan dari log yang ada dan menyajikannya dalam bentuk yang mudah dibaca dan dianalisis. Dengan menggunakan laporan, Anda dapat dengan cepat mendapatkan informasi yang diperlukan tentang kinerja perangkat, keamanan jaringan, sumber daya yang paling sering dikunjungi, dan sebagainya. Ada banyak pilihan. Laporan juga dapat digunakan untuk menganalisis status jaringan dan perangkat yang didukung dalam jangka waktu yang lama. Seringkali mereka sangat diperlukan ketika menyelidiki berbagai insiden keamanan.
Peringatan memungkinkan Anda merespons dengan cepat berbagai ancaman yang terjadi di jaringan. Sistem menghasilkan peringatan ketika log muncul yang memenuhi kondisi yang telah dikonfigurasi sebelumnya - deteksi virus, eksploitasi berbagai kerentanan, dan sebagainya. Peringatan ini dapat dilihat di antarmuka web FortiAnalyzer, dan Anda dapat mengonfigurasi pengirimannya melalui protokol SNMP, ke server syslog, dan juga ke alamat email tertentu.
Pengarsipan memungkinkan Anda menyimpan salinan berbagai konten yang mengalir melalui jaringan di FortiAnalyzer. Ini biasanya digunakan bersama dengan mesin DLP untuk menyimpan berbagai file yang termasuk dalam aturan mesin yang berbeda. Ini juga dapat berguna untuk menyelidiki berbagai insiden keamanan.
Fitur menarik lainnya adalah kemampuan menggunakan domain administratif. Teknologi ini memungkinkan Anda membuat grup perangkat berdasarkan berbagai kriteria – jenis perangkat, lokasi geografis, dan sebagainya. Pembuatan grup perangkat tersebut memiliki tujuan berikut:
- Mengelompokkan perangkat berdasarkan karakteristik serupa untuk kemudahan pemantauan dan pengelolaan—misalnya, perangkat dikelompokkan berdasarkan lokasi geografis. Anda perlu menemukan beberapa informasi di log untuk perangkat yang berada di grup yang sama. Daripada memfilter log dengan hati-hati, Anda cukup melihat log untuk domain administratif yang diperlukan dan mencari informasi yang diperlukan.
- Untuk membedakan akses administratif - setiap domain administratif dapat memiliki satu atau lebih administrator yang hanya memiliki akses ke domain administratif ini
- Kelola ruang disk dan kebijakan penyimpanan data perangkat secara efisien - Daripada membuat konfigurasi penyimpanan tunggal untuk semua perangkat, domain administratif memungkinkan Anda mengatur konfigurasi yang lebih sesuai untuk masing-masing kelompok perangkat. Ini bisa berguna jika Anda memiliki beberapa perangkat, dan dari satu kelompok perangkat Anda perlu menyimpan data selama satu tahun, dan dari kelompok perangkat lainnya - 3 tahun. Oleh karena itu, Anda dapat mengalokasikan ruang disk yang sesuai untuk setiap grup - untuk grup yang menghasilkan log dalam jumlah besar, alokasikan lebih banyak ruang, dan untuk grup lain - lebih sedikit ruang.
FortiAnalyzer dapat beroperasi dalam dua mode - Analyzer dan Collector. Mode operasi dipilih tergantung pada kebutuhan individu dan topologi jaringan.
Ketika FortiAnalyzer beroperasi dalam mode Analyzer, ia bertindak sebagai agregator utama log dari satu atau lebih pengumpul log. Pengumpul log adalah FortiAnalyzer dalam mode Kolektor dan perangkat lain yang didukung oleh FortiAnalyzer (daftarnya ditunjukkan di atas pada gambar). Mode operasi ini digunakan secara default.
Saat FortiAnalyzer berjalan dalam mode Kolektor, ia mengumpulkan log dari perangkat lain dan kemudian meneruskannya ke perangkat lain, seperti FortiAnalyzer dalam mode Analyzer atau Syslog. Dalam mode Kolektor, FortiAnalyzer tidak dapat menggunakan sebagian besar fitur, seperti pelaporan dan peringatan, karena tujuan utamanya adalah mengumpulkan dan meneruskan log.
Menggunakan beberapa perangkat FortiAnalyzer dalam mode berbeda dapat meningkatkan produktivitas - FortiAnalyzer dalam mode Collector mengumpulkan log dari semua perangkat dan mengirimkannya ke Analyzer untuk analisis selanjutnya, yang memungkinkan FortiAnalyzer dalam mode Analyzer menghemat sumber daya yang dihabiskan untuk menerima log dari beberapa perangkat dan fokus sepenuhnya pada pemrosesan log.
FortiAnalyzer mendukung bahasa kueri SQL deklaratif untuk pencatatan dan pelaporan. Dengan bantuannya, log disajikan dalam bentuk yang dapat dibaca. Selain itu, dengan menggunakan bahasa kueri ini, berbagai laporan dibuat. Beberapa kemampuan pelaporan memerlukan pengetahuan SQL dan database, namun kemampuan bawaan FortiAnalyzer sering kali menghilangkan pengetahuan ini. Hal ini akan kita jumpai lagi ketika mempertimbangkan mekanisme pelaporan.
FortiAnalyzer sendiri hadir dalam beberapa varian rasa. Ini bisa berupa perangkat fisik terpisah, mesin virtual - berbagai hypervisor didukung, daftar lengkapnya dapat ditemukan di . Itu juga dapat diterapkan di infrastruktur khusus - AWS. Azure, Google Cloud, dan lainnya. Dan opsi terakhir adalah FortiAnalyzer Cloud, layanan cloud yang disediakan oleh Fortinet.
Pada pelajaran selanjutnya kita akan mempersiapkan layout untuk kerja praktek selanjutnya. Agar tidak ketinggalan, berlangganan kami .
Anda juga dapat mengikuti pembaruan pada sumber daya berikut:
Sumber: www.habr.com
