皆さん、こんにちは! 新しい FortiAnalyzer 入門コースへようこそ。 コース上 FortiAnalyzer の機能についてはすでに説明しましたが、かなり表面的に説明しました。 ここで、この製品について、その目標、目的、機能について詳しく説明したいと思います。 このコースは前回ほどボリュームのあるものではありませんが、興味深く有益なものになることを願っています。
このレッスンは完全に理論的なものになってしまったので、便宜上、記事形式でも紹介することにしました。
このコースでは次の点について説明します。
- 製品、その目的、タスク、主な機能に関する一般情報
- レイアウトを準備しましょう。準備中に FortiAnalyzer の初期構成を詳しく見てみましょう
- 簡単に検索できるようにログを保存、処理、フィルタリングするメカニズムについて理解しましょう。また、ネットワークの状態に関する視覚的な情報をさまざまなグラフ、図、その他のウィジェットの形式で表示する FortiView メカニズムについても検討してみましょう。
- 既存のレポートを作成するプロセスを見てみましょう。また、独自のレポートを作成し、既存のレポートを編集する方法も学びましょう。
- FortiAnalyzer の管理に関連する主な問題を見てみましょう
- ライセンス スキームについてもう一度説明しましょう。これについてはコースのレッスン 11 ですでに説明しました。 、しかし、よく言われるように、繰り返しは学習の母です。
FortiAnalyzer の主な目的は、XNUMX つ以上のフォーティネット デバイスからのログを一元的に保存し、その処理と分析を行うことです。 これにより、セキュリティ管理者はさまざまなネットワーク イベントやセキュリティ イベントを XNUMX か所から監視し、ログやウィジェットから必要な情報を迅速に取得し、すべてまたは特定のデバイスに関するレポートを作成できます。
FortiAnalyzer がログを受信して分析できるデバイスのリストを次の図に示します。
FortiAnalyzer には、レポート、アラート、アーカイブという XNUMX つの主要な機能があります。 それぞれを見てみましょう。
レポート - レポートは、サポートされているデバイスで発生するネットワーク イベント、セキュリティ イベント、およびさまざまなアクティビティを視覚的に表現します。 レポート メカニズムは、既存のログから必要なデータを収集し、読みやすく分析しやすい形式で表示します。 レポートを使用すると、デバイスのパフォーマンス、ネットワーク セキュリティ、最もアクセスされるリソースなどに関する必要な情報をすぐに取得できます。 選択肢はたくさんあります。 レポートを使用して、ネットワークとサポートされているデバイスのステータスを長期間にわたって分析することもできます。 さまざまなセキュリティ インシデントを調査する際に、これらは不可欠であることがよくあります。
アラートを使用すると、ネットワーク上で発生するさまざまな脅威に迅速に対応できます。 ウイルスの検出やさまざまな脆弱性の悪用など、事前に設定された条件を満たすログが表示されると、システムはアラートを生成します。 これらのアラートは FortiAnalyzer Web インターフェイスで確認でき、SNMP プロトコルを介して syslog サーバーや特定の電子メール アドレスに送信するように設定できます。
アーカイブを使用すると、ネットワーク上を流れるさまざまなコンテンツのコピーを FortiAnalyzer に保存できます。 これは通常、DLP エンジンと組み合わせて使用され、エンジンのさまざまなルールに該当するさまざまなファイルを保存します。 さまざまなセキュリティ インシデントの調査にも役立ちます。
もう XNUMX つの興味深い機能は、管理ドメインを使用できることです。 このテクノロジーを使用すると、デバイスの種類、地理的位置などのさまざまな基準に基づいてデバイスのグループを作成できます。 このようなデバイス グループの作成は、次の目的に役立ちます。
- 監視と管理を容易にするために、同様の特性に基づいてデバイスをグループ化します。たとえば、デバイスは地理的な場所によってグループ化されます。 同じグループにあるデバイスのログで情報を見つける必要があります。 ログを注意深くフィルタリングする代わりに、必要な管理ドメインのログを調べて、必要な情報を探すだけです。
- 管理アクセスを区別するには、各管理ドメインに、この管理ドメインへのアクセスのみを持つ XNUMX 人以上の管理者を含めることができます。
- デバイス データのディスク スペースとストレージ ポリシーを効率的に管理 - すべてのデバイスに対して単一のストレージ構成を作成する代わりに、管理ドメインを使用すると、デバイスの個々のグループに対してより適切な構成を設定できます。 これは、複数のデバイスがあり、あるデバイスのグループからは 3 年間、別のグループからは XNUMX 年間データを保存する必要がある場合に便利です。 したがって、各グループに適切なディスク領域を割り当てることができます。大量のログを生成するグループにはより多くの領域を割り当て、別のグループにはより少ない領域を割り当てます。
FortiAnalyzer は、アナライザーとコレクターの XNUMX つのモードで動作できます。 動作モードは、個々の要件とネットワーク トポロジに応じて選択されます。
FortiAnalyzer がアナライザー モードで動作する場合、XNUMX つ以上のログ コレクターからのログのプライマリ アグリゲーターとして機能します。 ログ コレクターは、コレクター モードの FortiAnalyzer と、FortiAnalyzer でサポートされるその他のデバイスの両方です (それらのリストは図の上に示されています)。 この動作モードはデフォルトで使用されます。
FortiAnalyzer がコレクター モードで実行されている場合、他のデバイスからログを収集し、それらをアナライザー モードまたは Syslog モードの FortiAnalyzer などの別のデバイスに転送します。 コレクター モードでは、FortiAnalyzer の主な目的はログの収集と転送であるため、レポートやアラートなどのほとんどの機能を使用できません。
複数の FortiAnalyzer デバイスを異なるモードで使用すると、生産性が向上します。コレクタ モードの FortiAnalyzer は、すべてのデバイスからログを収集し、その後の分析のためにアナライザに送信します。これにより、アナライザ モードの FortiAnalyzer は、複数のデバイスからのログの受信に費やされるリソースを節約し、次のことに完全に集中できます。ログ処理。
FortiAnalyzer は、ロギングとレポート用に宣言型 SQL クエリ言語をサポートしています。 その助けを借りて、ログは読みやすい形式で表示されます。 また、このクエリ言語を使用して、さまざまなレポートが構築されます。 一部のレポート機能には SQL およびデータベースの知識が必要ですが、FortiAnalyzer の組み込み機能では、多くの場合、この知識は不要です。 報告メカニズムを検討するときに、この問題に再び遭遇することになります。
FortiAnalyzer 自体にはいくつかの種類があります。 これは、別個の物理デバイスまたは仮想マシンにすることができます。さまざまなハイパーバイザーがサポートされており、その完全なリストは次の場所にあります。 。 特殊なインフラストラクチャ (AWS) にデプロイすることもできます。 Azure、Google Cloudなど。 そして最後の選択肢は、フォーティネットが提供するクラウドサービスであるFortiAnalyzer Cloudです。
次のレッスンでは、さらに実践的な作業のためのレイアウトを準備します。 見逃さないように、購読してください .
次のリソースの更新情報をフォローすることもできます。
出所: habr.com