Ciao amici! Siamo lieti di darti il benvenuto al nostro nuovo corso FortiAnalyzer Getting Started. In corso Abbiamo già esaminato la funzionalità di FortiAnalyzer, ma l'abbiamo esaminata in modo piuttosto superficiale. Ora voglio parlarvi più in dettaglio di questo prodotto, dei suoi scopi, obiettivi e capacità. Questo corso non dovrebbe essere voluminoso come il precedente, ma spero che sia interessante e informativo.
Poiché la lezione si è rivelata del tutto teorica, per vostra comodità abbiamo deciso di presentarla anche in formato articolo.
Durante questo corso tratteremo i seguenti punti:
- Informazioni generali sul prodotto, il suo scopo, le attività e le caratteristiche principali
- Prepariamo un layout, durante la preparazione daremo uno sguardo dettagliato alla configurazione iniziale di FortiAnalyzer
- Facciamo conoscenza con il meccanismo di archiviazione, elaborazione e filtraggio dei log per una facile ricerca e consideriamo anche il meccanismo FortiView, che presenta informazioni visive sullo stato della rete sotto forma di vari grafici, diagrammi e altri widget
- Diamo un'occhiata al processo di creazione dei report esistenti e impariamo anche come creare i tuoi report e modificare i report esistenti
- Esaminiamo le principali problematiche legate all'amministrazione di FortiAnalyzer
- Parliamo ancora dello schema di licenza: ne ho già parlato nella lezione 11 del corso. , ma come si suol dire, la ripetizione è la madre dell'apprendimento.
Lo scopo principale di FortiAnalyzer è l'archiviazione centralizzata dei log da uno o più dispositivi Fortinet, nonché la loro elaborazione e analisi. Ciò consente agli amministratori della sicurezza di monitorare vari eventi di rete e di sicurezza da un'unica posizione, ottenere rapidamente le informazioni necessarie da registri e widget e creare report su tutti i dispositivi o su dispositivi specifici.
L'elenco dei dispositivi da cui FortiAnalyzer può ricevere i log e analizzarli è presentato nella figura seguente.
FortiAnalyzer ha tre funzionalità chiave: reporting, avvisi e archiviazione. Diamo un'occhiata a ciascuno di essi.
Reporting: i report forniscono una rappresentazione visiva degli eventi di rete, degli eventi di sicurezza e di varie attività che si verificano sui dispositivi supportati. Il meccanismo di reporting raccoglie i dati necessari dai log esistenti e li presenta in un formato facile da leggere e analizzare. Utilizzando i report, puoi ottenere rapidamente le informazioni necessarie sulle prestazioni del dispositivo, sulla sicurezza della rete, sulle risorse più visitate e così via. Ci sono tante opzioni. I report possono essere utilizzati anche per analizzare lo stato della rete e dei dispositivi supportati per un lungo periodo di tempo. Molto spesso sono indispensabili quando si indaga su vari incidenti di sicurezza.
Gli avvisi consentono di rispondere rapidamente alle varie minacce che si verificano sulla rete. Il sistema genera avvisi quando vengono visualizzati registri che soddisfano condizioni preconfigurate: rilevamento di virus, sfruttamento di varie vulnerabilità e così via. Questi avvisi possono essere visualizzati nell'interfaccia web di FortiAnalyzer ed è possibile configurarne l'invio tramite il protocollo SNMP, al server syslog e anche a indirizzi e-mail specifici.
L'archiviazione consente di archiviare copie di vari contenuti che circolano nella rete sul FortiAnalyzer. Di solito viene utilizzato insieme al motore DLP per archiviare vari file che rientrano nelle diverse regole del motore. Può anche essere utile per indagare su vari incidenti di sicurezza.
Un'altra caratteristica interessante è la possibilità di utilizzare domini amministrativi. Questa tecnologia consente di creare gruppi di dispositivi in base a vari criteri: tipi di dispositivi, posizione geografica e così via. La creazione di tali gruppi di dispositivi ha i seguenti scopi:
- Raggruppamento di dispositivi in base a caratteristiche simili per facilitare il monitoraggio e la gestione: ad esempio, i dispositivi vengono raggruppati per posizione geografica. È necessario trovare alcune informazioni nei registri per i dispositivi situati nello stesso gruppo. Invece di filtrare attentamente i registri, è sufficiente esaminare i registri per il dominio amministrativo richiesto e cercare le informazioni necessarie.
- Per differenziare l'accesso amministrativo: ciascun dominio amministrativo può avere uno o più amministratori che hanno accesso solo a questo dominio amministrativo
- Gestisci in modo efficiente lo spazio su disco e le policy di archiviazione per i dati dei dispositivi: invece di creare un'unica configurazione di archiviazione per tutti i dispositivi, i domini amministrativi ti consentono di impostare configurazioni più appropriate per singoli gruppi di dispositivi. Questo può essere utile se disponi di più dispositivi e da un gruppo di dispositivi è necessario archiviare i dati per un anno e da un altro per 3 anni. Di conseguenza, è possibile allocare spazio su disco adeguato per ciascun gruppo: per un gruppo che genera un numero elevato di registri, allocare più spazio e per un altro gruppo - meno spazio.
FortiAnalyzer può funzionare in due modalità: Analizzatore e Raccoglitore. La modalità operativa viene selezionata in base alle esigenze individuali e alla topologia della rete.
Quando FortiAnalyzer funziona in modalità Analizzatore, agisce come aggregatore principale di log da uno o più raccoglitori di log. I raccoglitori di log sono sia FortiAnalyzer in modalità Collector che altri dispositivi supportati da FortiAnalyzer (il loro elenco era mostrato sopra nella figura). Questa modalità operativa viene utilizzata per impostazione predefinita.
Quando FortiAnalyzer viene eseguito in modalità Collector, raccoglie i log da altri dispositivi e quindi li inoltra a un altro dispositivo, come FortiAnalyzer in modalità Analizzatore o Syslog. In modalità Collector, FortiAnalyzer non può utilizzare la maggior parte delle funzionalità, come reporting e avvisi, poiché il suo scopo principale è raccogliere e inoltrare i log.
L'utilizzo di più dispositivi FortiAnalyzer in modalità diverse può aumentare la produttività: FortiAnalyzer in modalità Collector raccoglie i log da tutti i dispositivi e li invia all'Analizzatore per la successiva analisi, consentendo a FortiAnalyzer in modalità Analizzatore di risparmiare risorse spese per ricevere log da più dispositivi e concentrarsi interamente su elaborazione del registro.
FortiAnalyzer supporta il linguaggio di query SQL dichiarativo per la registrazione e il reporting. Con il suo aiuto, i registri vengono presentati in una forma leggibile. Inoltre, utilizzando questo linguaggio di query, vengono creati vari report. Alcune funzionalità di reporting richiedono una certa conoscenza di SQL e database, ma le funzionalità integrate di FortiAnalyzer spesso eliminano questa conoscenza. Lo incontreremo di nuovo quando considereremo il meccanismo di segnalazione.
Lo stesso FortiAnalyzer è disponibile in diverse versioni. Può trattarsi di un dispositivo fisico separato, una macchina virtuale: sono supportati diversi hypervisor, il loro elenco completo è disponibile in . Può anche essere distribuito in infrastrutture specializzate - AWS. Azure, Google Cloud e altri. E l'ultima opzione è FortiAnalyzer Cloud, un servizio cloud fornito da Fortinet.
Nella prossima lezione prepareremo un layout per ulteriore lavoro pratico. Per non perderlo iscriviti al ns .
Puoi anche seguire gli aggiornamenti sulle seguenti risorse:
Fonte: habr.com