Сәлем достар! Біз сізді FortiAnalyzer бағдарламасын іске қосудың жаңа курсына қарсы алуға қуаныштымыз. Әрине Біз FortiAnalyzer функционалдығын қарастырдық, бірақ біз оны үстірт түрде қарастырдық. Енді мен сізге осы өнім туралы, оның мақсаттары, міндеттері мен мүмкіндіктері туралы толығырақ айтып бергім келеді. Бұл курс соңғы курс сияқты көлемді болмауы керек, бірақ ол қызықты және мазмұнды болады деп үміттенемін.
Сабақ толығымен теориялық болғандықтан, сізге ыңғайлы болу үшін оны мақала форматында да ұсынуды жөн көрдік.
Бұл курс барысында біз келесі тармақтарды қарастырамыз:
- Өнім туралы жалпы мәліметтер, оның мақсаты, міндеттері және негізгі ерекшеліктері
- Макет дайындаймыз, дайындық кезінде FortiAnalyzer бастапқы конфигурациясын егжей-тегжейлі қарастырамыз.
- Оңай іздеу үшін журналдарды сақтау, өңдеу және сүзу механизмімен танысайық, сонымен қатар әртүрлі графиктер, диаграммалар және басқа виджеттер түрінде желінің күйі туралы көрнекі ақпаратты ұсынатын FortiView механизмін қарастырайық.
- Бар есептерді жасау процесін қарастырайық, сонымен қатар өз есептерді жасауды және бар есептерді өңдеуді үйренейік
- FortiAnalyzer-ті басқаруға қатысты негізгі мәселелерді қарастырайық
- Лицензиялау схемасын тағы да талқылайық - мен бұл туралы курстың 11-сабағында айттым. , бірақ олар айтқандай, қайталау - оқудың анасы.
FortiAnalyzer негізгі мақсаты бір немесе бірнеше Fortinet құрылғыларының журналдарын орталықтандырылған сақтау, сондай-ақ оларды өңдеу және талдау болып табылады. Бұл қауіпсіздік әкімшілеріне әртүрлі желі және қауіпсіздік оқиғаларын бір жерден бақылауға, журналдар мен виджеттерден қажетті ақпаратты жылдам алуға және барлық немесе нақты құрылғыларда есептерді құруға мүмкіндік береді.
FortiAnalyzer журналдарды қабылдай алатын және оларды талдай алатын құрылғылар тізімі төмендегі суретте берілген.
FortiAnalyzer үш негізгі мүмкіндігі бар: есеп беру, ескертулер және мұрағаттау. Олардың әрқайсысын қарастырайық.
Есеп беру - Есептер желі оқиғаларының, қауіпсіздік оқиғаларының және қолдау көрсетілетін құрылғыларда орын алатын әртүрлі әрекеттердің көрнекі көрінісін береді. Есеп беру механизмі бар журналдардан қажетті деректерді жинайды және оларды оқуға және талдауға оңай пішінде ұсынады. Есептерді пайдалана отырып, құрылғы өнімділігі, желі қауіпсіздігі, ең көп кіретін ресурстар және т.б. туралы қажетті ақпаратты жылдам алуға болады. Көптеген нұсқалар бар. Есептерді ұзақ уақыт бойы желінің және қолдау көрсетілетін құрылғылардың күйін талдау үшін де пайдалануға болады. Көбінесе олар әртүрлі қауіпсіздік оқиғаларын тергеу кезінде қажет.
Ескертулер желіде туындайтын әртүрлі қауіптерге жылдам жауап беруге мүмкіндік береді. Жүйе алдын ала конфигурацияланған шарттарды қанағаттандыратын журналдар пайда болған кезде ескертулер жасайды - вирустарды анықтау, әртүрлі осалдықтарды пайдалану және т.б. Бұл ескертулерді FortiAnalyzer веб-интерфейсінен көруге болады және оларды SNMP протоколы арқылы, syslog серверіне, сондай-ақ арнайы электрондық пошта мекенжайларына жіберуді конфигурациялауға болады.
Мұрағаттау FortiAnalyzer жүйесінде желі бойынша ағып жатқан әртүрлі мазмұнның көшірмелерін сақтауға мүмкіндік береді. Бұл әдетте қозғалтқыштың әртүрлі ережелеріне сәйкес келетін әртүрлі файлдарды сақтау үшін DLP қозғалтқышымен бірге қолданылады. Бұл әртүрлі қауіпсіздік оқиғаларын зерттеу үшін де пайдалы болуы мүмкін.
Тағы бір қызықты мүмкіндік - әкімшілік домендерді пайдалану мүмкіндігі. Бұл технология әртүрлі критерийлер негізінде құрылғылар топтарын құруға мүмкіндік береді - құрылғы түрлері, географиялық орналасуы және т.б. Мұндай құрылғылар топтарын құру келесі мақсаттарға қызмет етеді:
- Бақылау және басқару оңайлығы үшін ұқсас сипаттамаларға негізделген құрылғыларды топтау — мысалы, құрылғылар географиялық орын бойынша топтастырылған. Бір топта орналасқан құрылғылардың журналдарынан кейбір ақпаратты табу керек. Журналдарды мұқият сүзудің орнына, сіз жай ғана қажетті әкімшілік домен журналдарын қарап, қажетті ақпаратты іздейсіз.
- Әкімшілік қол жеткізуді саралау үшін - әрбір әкімшілік доменде тек осы әкімшілік доменге рұқсаты бар бір немесе бірнеше әкімшілер болуы мүмкін.
- Құрылғы деректеріне арналған дискілік кеңістікті және сақтау саясаттарын тиімді басқарыңыз - Барлық құрылғылар үшін бір сақтау конфигурациясын жасаудың орнына, әкімшілік домендер құрылғылардың жеке топтары үшін неғұрлым сәйкес конфигурацияларды орнатуға мүмкіндік береді. Бұл сізде бірнеше құрылғы болған жағдайда пайдалы болуы мүмкін және құрылғылардың бір тобынан деректерді бір жыл, ал екіншісінен 3 жыл сақтау қажет. Тиісінше, әр топ үшін қолайлы дискілік кеңістікті бөлуге болады - журналдардың көп санын жасайтын топ үшін көбірек орын, ал басқа топ үшін - аз орын.
FortiAnalyzer екі режимде жұмыс істей алады - анализатор және коллектор. Жұмыс режимі жеке талаптарға және желі топологиясына байланысты таңдалады.
FortiAnalyzer Талдаушы режимінде жұмыс істегенде, ол бір немесе бірнеше журнал жинағыштарының журналдарының негізгі агрегаторы ретінде әрекет етеді. Журнал жинағыштары Коллектор режиміндегі FortiAnalyzer және FortiAnalyzer қолдайтын басқа құрылғылар болып табылады (олардың тізімі жоғарыда суретте көрсетілген). Бұл жұмыс режимі әдепкі бойынша пайдаланылады.
FortiAnalyzer коллектор режимінде жұмыс істегенде, ол басқа құрылғылардан журналдарды жинайды, содан кейін оларды Analyzer немесе Syslog режиміндегі FortiAnalyzer сияқты басқа құрылғыға жібереді. Коллектор режимінде FortiAnalyzer есеп беру және ескертулер сияқты көптеген мүмкіндіктерді пайдалана алмайды, себебі оның негізгі мақсаты журналдарды жинау және қайта жіберу болып табылады.
Түрлі режимдерде бірнеше FortiAnalyzer құрылғыларын пайдалану өнімділікті арттыруы мүмкін - Коллектор режиміндегі FortiAnalyzer барлық құрылғылардан журналдарды жинайды және оларды кейінгі талдау үшін Талдаушыға жібереді, бұл Талдаушы режиміндегі FortiAnalyzer бірнеше құрылғылардан журналдарды қабылдауға жұмсалған ресурстарды үнемдеуге және толығымен назар аударуға мүмкіндік береді. журналды өңдеу.
FortiAnalyzer журналға және есеп беруге арналған декларативті SQL сұрау тілін қолдайды. Оның көмегімен журналдар оқылатын пішінде ұсынылады. Сондай-ақ, осы сұрау тілі арқылы әртүрлі есептер құрастырылады. Кейбір есеп беру мүмкіндіктері кейбір SQL және дерекқор білімін қажет етеді, бірақ FortiAnalyzer кірістірілген мүмкіндіктері бұл білімді жиі жояды. Есеп беру механизмін қарастырған кезде біз мұны тағы да кездестіреміз.
FortiAnalyzer өзі бірнеше дәмде келеді. Бұл жеке физикалық құрылғы, виртуалды машина болуы мүмкін - әртүрлі гипервизорларға қолдау көрсетіледі, олардың толық тізімін мына жерден табуға болады . Оны мамандандырылған инфрақұрылымдарда - AWS-де де қолдануға болады. Azure, Google Cloud және т.б. Ал соңғы опция - FortiAnalyzer Cloud, Fortinet ұсынған бұлттық қызмет.
Келесі сабақта әрі қарай практикалық жұмыс үшін макет дайындаймыз. Оны жіберіп алмау үшін біздің сайтқа жазылыңыз .
Сондай-ақ келесі ресурстардағы жаңартуларды қадағалай аласыз:
Ақпарат көзі: www.habr.com