Kveðja! Verið velkomin í níundu kennslustund námskeiðsins . Á Við skoðuðum grunnaðferðirnar til að stjórna aðgangi notenda að ýmsum auðlindum. Nú höfum við annað verkefni - við þurfum að greina hegðun notenda á netinu og einnig stilla móttöku gagna sem geta hjálpað við rannsókn á ýmsum öryggisatvikum. Þess vegna munum við í þessari lexíu skoða skráningar- og skýrslugerðina. Til þess þurfum við FortiAnalyzer, sem við settum í notkun í upphafi námskeiðsins. Nauðsynleg fræði, auk myndbandskennslu, eru í boði undir skurðinum.
Í FotiGate er annálum skipt í þrjár gerðir: umferðarskrár, atburðaskrár og öryggisskrár. Þeim er aftur á móti skipt í undirgerðir.
Umferðarskrár skrá upplýsingar um umferðarflæði eins og beiðnir og svör, ef einhverjar eru. Þessi tegund inniheldur undirtegundirnar Forward, Local og Sniffer.
Áfram undirtegundin inniheldur upplýsingar um umferð sem FortiGate hefur annað hvort samþykkt eða hafnað á grundvelli eldveggsstefnu.
Local undirtegundin inniheldur upplýsingar um umferð beint frá FortiGate IP tölunni og frá IP tölunum sem umsjón fer fram frá. Til dæmis tengingar við FortiGate vefviðmótið.
Sniffer undirgerðin inniheldur skrá yfir umferð sem var fengin með umferðarspeglun.
Atburðaskrár innihalda kerfis- eða stjórnunarviðburði, svo sem að bæta við eða breyta breytum, koma á og brjóta VPN göng, kraftmikla leiðaratburði og svo framvegis. Allar undirgerðir eru sýndar á myndinni hér að neðan.
Og þriðja tegundin er öryggisskrár. Þessar annálar skráir atburði sem tengjast vírusárásum, heimsóknum á bönnuð auðlind, notkun á bönnuðum forritum og svo framvegis. Listinn í heild sinni er einnig sýndur á myndinni hér að neðan.
Þú getur geymt annála á mismunandi stöðum - bæði á FortiGate sjálfum og utan hans. Að geyma annála á FortiGate telst staðbundin skógarhögg. Það fer eftir tækinu sjálfu, hægt er að geyma annála annað hvort í flash minni tækisins eða á harða disknum. Að jafnaði hafa módel frá miðju harða diskinn. Það er auðvelt að greina gerðir með harða diskinum - það er eining í lokin. Til dæmis kemur FortiGate 100E án harða disks og FortiGate 101E kemur með harða diski.
Yngri og eldri gerðir eru yfirleitt ekki með harðan disk. Í þessu tilviki er flassminni notað til að skrá logs. Hins vegar er þess virði að íhuga að stöðugt að skrifa logs í flassminni getur dregið úr skilvirkni þess og endingartíma. Því er sjálfgefið óvirkt að skrifa annála í flassminni. Mælt er með því að virkja það aðeins til að skrá atburði á meðan verið er að leysa ákveðin vandamál.
Þegar annálar eru teknar upp, skiptir ekki máli fyrir harða diskinn eða flassminni, afköst tækisins munu minnka.
Það er nokkuð algengt að geyma logs á ytri netþjónum. FortiGate getur geymt annála á Syslog netþjónum, FortiAnalyzer eða FortiManager. Þú getur líka notað FortiCloud skýjaþjónustuna til að geyma annála.
Syslog er miðlari til að geyma annála frá nettækjum miðlægt.
FortiCloud er áskriftarbundin öryggisstjórnun og annálageymsluþjónusta. Með hjálp þess geturðu geymt annála fjarstýrt og búið til viðeigandi skýrslur. Ef þú ert með frekar lítið net gæti góð lausn verið að nota þessa skýjaþjónustu frekar en að kaupa aukabúnað. Það er til ókeypis útgáfa af FortiCloud sem inniheldur vikulega geymslupláss. Eftir að þú hefur keypt áskrift er hægt að geyma annála í eitt ár.
FortiAnalyzer og FortiManager eru ytri annálageymslutæki. Vegna þess að þau eru öll með sama stýrikerfi - FortiOS - skapar samþætting FortiGate við þessi tæki enga erfiðleika.
Hins vegar er munur á FortiAnalyzer og FortiManager tækjunum. Megintilgangur FortiManager er miðlæg stjórnun margra FortiGate tækja - því er minnismagnið til að geyma logs á FortiManager verulega minna en á FortiAnalyzer (ef við berum auðvitað saman gerðir úr sama verðflokki).
Megintilgangur FortiAnalyzer er einmitt að safna og greina annála. Þess vegna munum við íhuga frekar að vinna með það í reynd.
Öll kenningin, sem og verklegi hlutinn, er kynnt í þessari myndbandslexíu:
Í næstu lexíu förum við yfir grunnatriði þess að stjórna FortiGate einingu. Til að missa ekki af því skaltu fylgjast með uppfærslunum á eftirfarandi rásum:
Heimild: www.habr.com