Здравствуйте, друзья! Мы рады вас приветствовать на нашем новом курсе FortiAnalyzer Getting Started. На курсе мы уже рассматривали функционал FortiAnalyzer, но прошлись по нему довольно поверхностно. Сейчас я хочу более подробно рассказать про этот продукт, про его цели, задачи и возможности. Данный курс должен получиться не таким объемным, как прошлый, но я надеюсь, что он будет интересным и познавательным.
Поскольку урок получился полностью теоретическим, для вашего удобства мы решили представить его также в формате статьи.
В ходе данного курса мы рассмотрим следующие моменты:
- Общие сведения о продукте, его назначение, решаемые задачи и ключевые особенности
- Подготовим макет, в ходе подготовки подробно рассмотрим начальную конфигурацию FortiAnalyzer
- Познакомимся с механизмом хранения, обработки и фильтрации логов для их удобного поиска, а также рассмотрим механизм FortiView, который представляет наглядную информацию о состоянии сети в виде различных графиков, диаграмм и других виджетов
- Рассмотрим процесс создания существующих отчетов, а также научимся создавать собственные отчеты и редактировать существующие отчеты
- Пройдемся по основным вопросам, связанным с администрированием FortiAnalyzer’а
- Еще раз обсудим схему лицензирования — я уже рассказывал про нее в 11 уроке курса , но, как говорится, повторение — мать учения.
Основное предназначение FortiAnalyzer — централизованное хранение логов с одного или нескольких устройств компании Fortinet, а также их обработка и анализ. Это позволяет администраторам безопасности следить за различными сетевым событиями и событиями безопасности из одного места, быстро получать необходимую информацию из логов и виджетов, а также строить отчеты по всем или интересующим устройствам.
Список устройств, с которых FortiAnalyzer может принимать логи и анализировать их, представлен на рисунке ниже.
У FortiAnalyzer выделяют три ключевые особенности — отчетность, оповещения, архивация. Рассмотрим каждую из них.
Отчетность — отчеты обеспечивают наглядное представление сетевых событий, событий безопасности, различных активностей, происходящих на поддерживаемых устройствах. Механизм отчетности собирает необходимые данные из имеющихся логов и представляет их в удобном для чтения и анализа виде. С помощью отчетов можно быстро получить необходимую информацию о производительности устройств, безопасности сети, наиболее посещаемых ресурсах, и так далее. Вариантов очень много. Также отчеты можно использовать для анализа состояния сети и поддерживаемых устройств в период длительного времени. Довольно часто они бывают незаменимы при расследовании различных инцидентов безопасности.
Оповещения позволяют быстро реагировать на различные угрозы, происходящие в сети. Система генерирует оповещения, когда появляются логи, удовлетворяющие заранее сконфигурированным условиям — обнаружение вируса, эксплуатация различных уязвимостей и так далее. Данные оповещения можно увидеть в веб интерфейсе FortiAnalyzer, а также настроить их отправку по протоколу SNMP, на syslog сервер, а также на определенные email адреса.
Архивация позволяет сохранять на FortiAnalyzer копии различного контента, проходящего по сети. Обычно это используется в совокупности с механизмом DLP для хранения различных файлов, попадающих под различные правила данного механизма. Это также может быть полезным для расследования различных инцидентов безопасности.
Еще одна интересная особенность — возможность использования административных доменов. Эта технология позволяет создавать группы устройств по различным признакам — типы устройств, географическое положение и так далее. Создание таких групп устройств преследует следующие цели:
- Группировка устройств по схожим признакам для удобства мониторинга и управления — допустим, устройства сгруппированы по географическому положению. Вам необходимо найти какую-либо информацию в логах по устройствам, находящимся в одной группе. Вместо того, чтобы тщательно отфильтровывать логи, вы просто смотрите логи по необходимому административному домену и ищете необходимую информацию.
- Для разграничения административного доступа — у каждого административного домена может быть один или несколько администраторов, которые имеют доступ только к данному административному домену
- Эффективное управление дисковым пространством и политиками хранения получаемых с устройств данных — вместо того, чтобы создавать единую конфигурацию хранения данных для всех устройств, административные домены позволяют устанавливать более подходящие конфигурации для отдельных групп устройств. Это может быть полезно в том случае, если у вас несколько устройств, и с одной группы устройств вам необходимо хранить данные год, а с другой — 3 года. Соответственно, под каждую группу можно выделить подходящее дисковое пространство — для группы, генерирующей большое число логов, выделить больше места, а для другой группы — меньше места.
FortiAnalyzer может работать в двух режимах — Analyzer и Collector. Режим работы выбирается в зависимости от индивидуальных требований и топологии сети.
Когда FortiAnalyzer работает в режиме Analyzer, он выступает в качестве основного агрегатора логов с одного или нескольких сборщиков логов. Сборщиками логов являются как FortiAnalyzer в режиме Collector, так и другие устройства, которые поддерживаются FortiAnalyzer (их список был приведен выше на рисунке). Данный режим работы используется по умолчанию.
Когда FortiAnalyzer работает в режиме Collector, он собирает логи с других устройств и затем пересылает их на другое устройство, такое как FortiAnalyzer в режиме Analyzer или Syslog. В режиме Collector FortiAnalyzer не может использовать большинство функций, такие как отчетность и оповещения, поскольку его главная цель — собирать и пересылать логи.
Используя несколько устройств FortiAnalyzer в различных режимах можно увеличить производительность — FortiAnalyzer в режиме Collector собирает логи со всех устройств, и пересылает их на Analyzer для последующего анализа, что позволяет FortiAnalyzer в режиме Analyzer экономить ресурсы, затрачиваемые на прием логов с множества устройств и полностью сосредоточиться на обработке логов.
FortiAnalyzer поддерживает декларативный язык запросов SQL для логирования и отчетности. С его помощью логи представляются в читабельном виде. Также с помощью данного языка запросов строятся различные отчеты. Для некоторых возможностей отчетности требуются определенные знания SQL и баз данных, но часто встроенные возможности FortiAnalyzer позволяют обойтись без данных знаний. Мы еще столкнемся с этим, когда будем рассматривать механизм отчетности.
Сам FortiAnalyzer может быть представлен в нескольких вариантах. Это может быть отдельное физическое устройство, виртуальная машина — поддерживаются разные гипервизоры, их полный перечень можно найти в . Также он может быть развернут в специализированных инфраструктурах — AWS. Azure, Google Cloud и в прочих. И последний вариант — FortiAnalyzer Cloud — облачный сервис, предоставляемый компанией Fortinet.
На следующем уроке мы подготовим макет для дальнейших практических работ. Чтобы не пропустить его подписывайтесь на наш .
Ị nwekwara ike soro mmelite na akụrụngwa ndị a:
isi: www.habr.com