Салам достор! Сизди биздин жаңы FortiAnalyzer Баштоо курсубузга кош келүүгө кубанычтабыз. Албетте Биз буга чейин FortiAnalyzerтин функцияларын карап чыктык, бирок биз аны үстүртөн карап көрдүк. Эми мен бул продукт жөнүндө, анын максаттары, милдеттери жана мүмкүнчүлүктөрү жөнүндө кененирээк айтып бергим келет. Бул курс мурункудай көлөмдүү болбошу керек, бирок ал кызыктуу жана маалыматтуу болот деп ишенем.
Сабак толугу менен теориялык болгондуктан, сиздерге ынгайлуу болуу үчүн аны макала форматында да берүүнү чечтик.
Бул курстун жүрүшүндө биз төмөнкү пункттарды камтыйт:
- Буюм, анын максаты, милдеттери жана негизги өзгөчөлүктөрү жөнүндө жалпы маалымат
- Келгиле, макет даярдайлы, даярдоо учурунда FortiAnalyzerтин баштапкы конфигурациясын толук карап чыгабыз
- Оңой издөө үчүн журналдарды сактоо, иштетүү жана чыпкалоо механизми менен таанышалы, ошондой эле тармактын абалы жөнүндө визуалдык маалыматты ар кандай графиктер, диаграммалар жана башка виджеттер түрүндө берген FortiView механизмин карап көрөлү.
- Келгиле, учурдагы отчетторду түзүү процессин карап көрөлү, ошондой эле өзүңүздүн отчетторуңузду түзүүнү жана учурдагы отчетторду кантип оңдоону үйрөнөлү
- Келгиле, FortiAnalyzer администрациясына байланыштуу негизги маселелерди карап көрөлү
- Лицензиялоо схемасын дагы бир жолу талкуулайлы - мен бул тууралуу курстун 11-сабакында айтканмын. , бирок алар айткандай, кайталоо - окуунун энеси.
FortiAnalyzerтин негизги максаты бир же бир нече Fortinet түзмөктөрүнүн журналдарын борборлоштурулган сактоо, ошондой эле аларды иштетүү жана талдоо болуп саналат. Бул коопсуздук администраторлоруна ар кандай тармак жана коопсуздук окуяларын бир жерден көзөмөлдөөгө, журналдардан жана виджеттерден керектүү маалыматты тез алууга жана бардык же белгилүү бир түзмөктөрдө отчетторду түзүүгө мүмкүндүк берет.
FortiAnalyzer журналдарды кабыл алып, аларды талдай ала турган түзмөктөрдүн тизмеси төмөндөгү сүрөттө берилген.
FortiAnalyzer үч негизги өзгөчөлүктөргө ээ: отчеттуулук, эскертүүлөр жана архивдөө. Келгиле, алардын ар бирин карап көрөлү.
Reporting - Отчеттор тармак окуяларынын, коопсуздук окуяларынын жана колдоого алынган түзмөктөрдө болуп жаткан ар кандай иш-аракеттердин визуалдык көрүнүшүн камсыз кылат. Отчет берүү механизми учурдагы журналдардан керектүү маалыматтарды чогултат жана аларды окууга жана талдоо үчүн жеңил формада берет. Отчетторду колдонуу менен сиз түзмөктүн иштеши, тармактын коопсуздугу, эң көп кирген ресурстар жана башкалар жөнүндө керектүү маалыматты тез ала аласыз. Көп варианттар бар. Отчеттор ошондой эле узак убакыт бою тармактын жана колдоого алынган түзмөктөрдүн абалын талдоо үчүн колдонулушу мүмкүн. Көп учурда алар ар кандай коопсуздук инциденттерин иликтөөдө зарыл болуп саналат.
Эскертүүлөр тармакта пайда болгон ар кандай коркунучтарга тез жооп берүүгө мүмкүндүк берет. Система алдын ала конфигурацияланган шарттарды канааттандырган журналдар пайда болгондо эскертүүлөрдү жаратат - вирустарды аныктоо, ар кандай аялуу жерлерди пайдалануу жана башкалар. Бул эскертүүлөрдү FortiAnalyzer веб-интерфейсинде көрүүгө болот жана сиз аларды SNMP протоколу аркылуу, syslog серверине, ошондой эле белгилүү электрондук почта даректерине жөнөтүүнү конфигурациялай аласыз.
Архивдөө тармак боюнча агып жаткан ар кандай мазмундун көчүрмөлөрүн FortiAnalyzerте сактоого мүмкүндүк берет. Бул, адатта, кыймылдаткычтын ар кандай эрежелерине ылайык келген ар кандай файлдарды сактоо үчүн DLP кыймылдаткычы менен бирге колдонулат. Ошондой эле ар кандай коопсуздук окуяларын иликтөө үчүн пайдалуу болушу мүмкүн.
Дагы бир кызыктуу өзгөчөлүк - административдик домендерди колдонуу мүмкүнчүлүгү. Бул технология ар кандай критерийлердин негизинде түзүлүштөрдүн топторун түзүүгө мүмкүндүк берет - түзүлүштүн түрлөрү, географиялык жайгашуусу жана башкалар. Мындай түзүлүш топторун түзүү төмөнкү максаттарга кызмат кылат:
- Мониторингдин жана башкаруунун оңойлугу үчүн окшош мүнөздөмөлөрдүн негизинде түзмөктөрдү топтоо — мисалы, түзмөктөр географиялык жайгашуусу боюнча топтоштурулган. Ошол эле топто жайгашкан түзмөктөрдүн журналдарынан кээ бир маалыматты табышыңыз керек. Журналдарды кылдат чыпкалоонун ордуна, сиз жөн гана талап кылынган административдик домендин журналдарын карап, керектүү маалыматты издейсиз.
- Административдик кирүү мүмкүнчүлүгүн айырмалоо үчүн - ар бир административдик доменде ушул административдик доменге гана кирүү мүмкүнчүлүгү бар бир же бир нече администратор болушу мүмкүн
- Түзмөк маалыматтары үчүн диск мейкиндигин жана сактоо саясаттарын эффективдүү башкарыңыз - Бардык түзмөктөр үчүн бирдиктүү сактагыч конфигурациясын түзүүнүн ордуна, административдик домендер түзмөктөрдүн айрым топтору үчүн ылайыктуу конфигурацияларды коюуга мүмкүндүк берет. Эгер сизде бир нече түзмөктөр бар болсо, бул пайдалуу болушу мүмкүн жана бир топ түзмөктөрдөн бир жылга, ал эми экинчисинен 3 жылга чейин маалыматтарды сактоо керек. Демек, сиз ар бир топ үчүн ылайыктуу диск мейкиндигин бөлсөңүз болот - көп сандагы журналдарды түзгөн топ үчүн көбүрөөк мейкиндик, ал эми башка топ үчүн - азыраак орун.
FortiAnalyzer эки режимде иштей алат - Анализатор жана Коллектор. Иштөө режими жеке талаптарга жана тармак топологиясына жараша тандалат.
FortiAnalyzer Анализатор режиминде иштегенде, ал бир же бир нече журнал чогултуучу журналдардын негизги агрегатору катары иштейт. Журнал коллекторлору Коллектор режиминдеги FortiAnalyzer жана FortiAnalyzer тарабынан колдоого алынган башка түзмөктөр (алардын тизмеси жогоруда сүрөттө көрсөтүлгөн). Бул иштөө режими демейки боюнча колдонулат.
FortiAnalyzer Коллектор режиминде иштегенде, ал башка түзмөктөрдөн журналдарды чогултуп, анан аларды Analyzer же Syslog режиминдеги FortiAnalyzer сыяктуу башка түзмөккө жөнөтөт. Коллектор режиминде FortiAnalyzer отчеттуулук жана эскертүүлөр сыяктуу көпчүлүк функцияларды колдоно албайт, анткени анын негизги максаты журналдарды чогултуу жана жөнөтүү.
Ар кандай режимдерде бир нече FortiAnalyzer түзмөктөрүн колдонуу өндүрүмдүүлүктү жогорулатат - Коллектор режиминде FortiAnalyzer бардык түзмөктөрдөн журналдарды чогултат жана аларды кийинки талдоо үчүн Анализаторго жөнөтөт, бул талдоочу режиминде FortiAnalyzerге бир нече түзмөктөн журналдарды кабыл алууга сарпталган ресурстарды үнөмдөөгө жана толугу менен көңүл бурууга мүмкүндүк берет. журналды иштетүү.
FortiAnalyzer журналга жазуу жана отчеттуулук үчүн декларативдик SQL суроо тилин колдойт. Анын жардамы менен журналдар окула турган формада берилет. Ошондой эле, бул суроо тилин колдонуу менен, ар кандай отчеттор курулган. Кээ бир отчеттук мүмкүнчүлүктөр кээ бир SQL жана маалымат базасы билимин талап кылат, бирок FortiAnalyzer'дин орнотулган мүмкүнчүлүктөрү көбүнчө бул билимди жок кылат. Биз отчет берүү механизмин карап жатканда, буга дагы жолугабыз.
FortiAnalyzer өзү бир нече даам менен келет. Бул өзүнчө физикалык түзүлүш, виртуалдык машина болушу мүмкүн - ар кандай гипервизорлор колдоого алынат, алардын толук тизмесин таба аласыз . Ал ошондой эле адистештирилген инфраструктураларда - AWSде жайгаштырылышы мүмкүн. Azure, Google Cloud жана башкалар. Ал эми акыркы параметр FortiAnalyzer Cloud, Fortinet тарабынан берилген булут кызматы.
Кийинки сабакта мындан аркы практикалык иштер үчүн макет даярдайбыз. Аны өткөрүп жибербөө үчүн биздин баракчага жазылыңыз .
Сиз ошондой эле төмөнкү ресурстар боюнча жаңыртууларга көз салсаңыз болот:
Source: www.habr.com