Salam! Selamat datang di pelajaran kesembilan kursus ini . Pada Kami memeriksa mekanisme dasar untuk mengontrol akses pengguna ke berbagai sumber daya. Sekarang kita memiliki tugas lain - kita perlu menganalisis perilaku pengguna di jaringan, dan juga mengkonfigurasi penerimaan data yang dapat membantu dalam penyelidikan berbagai insiden keamanan. Oleh karena itu, dalam pelajaran ini kita akan melihat mekanisme pencatatan dan pelaporan. Untuk melakukan hal ini, kita memerlukan FortiAnalyzer, yang telah kita terapkan di awal kursus. Teori yang diperlukan, serta pelajaran video, tersedia di bawah ini.
Di FotiGate, log dibagi menjadi tiga jenis: log lalu lintas, log peristiwa, dan log keamanan. Mereka, pada gilirannya, dibagi menjadi beberapa subtipe.
Log lalu lintas mencatat informasi arus lalu lintas seperti permintaan dan tanggapan, jika ada. Tipe ini berisi subtipe Forward, Local dan Sniffer.
Subtipe Teruskan berisi informasi tentang lalu lintas yang diterima atau ditolak FortiGate berdasarkan kebijakan firewall.
Subtipe Lokal berisi informasi tentang lalu lintas langsung dari alamat IP FortiGate dan dari alamat IP tempat administrasi dilakukan. Misalnya, koneksi ke antarmuka web FortiGate.
Subtipe Sniffer berisi log lalu lintas yang diperoleh menggunakan pencerminan lalu lintas.
Log peristiwa berisi peristiwa sistem atau administratif, seperti penambahan atau perubahan parameter, pembuatan dan pemutusan terowongan VPN, peristiwa perutean dinamis, dan sebagainya. Semua subtipe disajikan pada gambar di bawah ini.
Dan tipe ketiga adalah log keamanan. Log ini mencatat kejadian terkait serangan virus, kunjungan ke sumber daya terlarang, penggunaan aplikasi terlarang, dan sebagainya. Daftar lengkapnya juga disajikan pada gambar di bawah ini.
Anda dapat menyimpan log di berbagai tempat - baik di FortiGate itu sendiri maupun di luarnya. Menyimpan log di FortiGate dianggap sebagai logging lokal. Tergantung pada perangkat itu sendiri, log dapat disimpan di memori flash perangkat atau di hard drive. Biasanya, model dari menengah memiliki hard drive. Model dengan hard drive cukup mudah dibedakan - ada unit di bagian akhir. Misalnya, FortiGate 100E hadir tanpa hard drive, dan FortiGate 101E hadir dengan hard drive.
Model yang lebih muda dan lebih tua biasanya tidak memiliki hard drive. Dalam hal ini, memori flash digunakan untuk merekam log. Namun, perlu diingat bahwa terus-menerus menulis log ke memori flash dapat mengurangi efisiensi dan masa pakainya. Oleh karena itu, penulisan log ke memori flash dinonaktifkan secara default. Disarankan untuk mengaktifkannya hanya untuk mencatat peristiwa saat memecahkan masalah tertentu.
Saat merekam log secara intensif, tidak peduli pada hard drive atau memori flash, kinerja perangkat akan menurun.
Menyimpan log di server jarak jauh merupakan hal yang lumrah. FortiGate dapat menyimpan log di server Syslog, FortiAnalyzer atau FortiManager. Anda juga dapat menggunakan layanan cloud FortiCloud untuk menyimpan log.
Syslog adalah server untuk menyimpan log secara terpusat dari perangkat jaringan.
FortiCloud adalah layanan manajemen keamanan dan penyimpanan log berbasis langganan. Dengan bantuannya, Anda dapat menyimpan log dari jarak jauh dan membuat laporan yang sesuai. Jika Anda memiliki jaringan yang cukup kecil, solusi yang baik adalah menggunakan layanan cloud ini daripada membeli peralatan tambahan. Ada versi gratis FortiCloud yang mencakup penyimpanan log mingguan. Setelah membeli langganan, log dapat disimpan selama satu tahun.
FortiAnalyzer dan FortiManager adalah perangkat penyimpanan log eksternal. Karena semuanya memiliki sistem operasi yang sama - FortiOS - integrasi FortiGate dengan perangkat ini tidak menimbulkan kesulitan.
Namun, ada perbedaan yang perlu diperhatikan antara perangkat FortiAnalyzer dan FortiManager. Tujuan utama FortiManager adalah manajemen terpusat beberapa perangkat FortiGate - oleh karena itu, jumlah memori untuk menyimpan log di FortiManager jauh lebih sedikit daripada di FortiAnalyzer (jika, tentu saja, kita membandingkan model dari segmen harga yang sama).
Tujuan utama FortiAnalyzer justru untuk mengumpulkan dan menganalisis log. Oleh karena itu, kami akan mempertimbangkan lebih lanjut untuk mengerjakannya dalam praktik.
Seluruh teori, serta bagian praktisnya, disajikan dalam video pelajaran ini:
Pada pelajaran berikutnya, kita akan membahas dasar-dasar pengelolaan unit FortiGate. Agar tidak ketinggalan, ikuti updatenya di channel berikut ini:
Sumber: www.habr.com