Sveiki draugi! MÄs esam priecÄ«gi sveikt jÅ«s mÅ«su jaunajÄ FortiAnalyzer darba sÄkÅ”anas kursÄ. KursÄ Fortinet Darba sÄkÅ”ana MÄs jau esam apskatÄ«juÅ”i FortiAnalyzer funkcionalitÄti, taÄu mÄs to izskatÄ«jÄm diezgan virspusÄji. Tagad es vÄlos jums pastÄstÄ«t sÄ«kÄk par Å”o produktu, par tÄ mÄrÄ·iem, uzdevumiem un iespÄjÄm. Å im kursam nevajadzÄtu bÅ«t tik apjomÄ«gam kÄ iepriekÅ”Äjam, bet ceru, ka tas bÅ«s interesants un izzinoÅ”s.
TÄ kÄ nodarbÄ«ba izrÄdÄ«jÄs pilnÄ«bÄ teorÄtiska, jÅ«su ÄrtÄ«bÄm nolÄmÄm to pasniegt arÄ« raksta formÄtÄ.
Å Ä« kursa laikÄ mÄs apskatÄ«sim Å”Ädus punktus:
VispÄrÄ«ga informÄcija par produktu, tÄ mÄrÄ·i, uzdevumiem un galvenajÄm funkcijÄm
IepazÄ«simies ar žurnÄlu glabÄÅ”anas, apstrÄdes un filtrÄÅ”anas mehÄnismu Ärtai meklÄÅ”anai, kÄ arÄ« apsvÄrsim FortiView mehÄnismu, kas dažÄdu grafiku, diagrammu un citu logrÄ«ku veidÄ sniedz vizuÄlu informÄciju par tÄ«kla stÄvokli.
ApskatÄ«sim esoÅ”o pÄrskatu izveides procesu, kÄ arÄ« uzzinÄsim, kÄ izveidot savus pÄrskatus un rediÄ£Ät esoÅ”os pÄrskatus.
ApskatÄ«sim galvenos ar FortiAnalyzer administrÄÅ”anu saistÄ«tos jautÄjumus
VÄlreiz apspriedÄ«sim licencÄÅ”anas shÄmu ā par to jau runÄju kursa 11. nodarbÄ«bÄ. Fortinet Darba sÄkÅ”ana, bet kÄ saka, atkÄrtoÅ”ana ir mÄcÄ«Å”anÄs mÄte.
FortiAnalyzer galvenais mÄrÄ·is ir centralizÄta žurnÄlu glabÄÅ”ana no vienas vai vairÄkÄm Fortinet ierÄ«cÄm, kÄ arÄ« to apstrÄde un analÄ«ze. Tas ļauj droŔības administratoriem no vienas vietas uzraudzÄ«t dažÄdus tÄ«kla un droŔības notikumus, Ätri iegÅ«t nepiecieÅ”amo informÄciju no žurnÄliem un logrÄ«kiem un veidot atskaites par visÄm vai konkrÄtÄm ierÄ«cÄm.
To ierÄ«Äu saraksts, no kurÄm FortiAnalyzer var saÅemt žurnÄlus un tos analizÄt, ir parÄdÄ«ts zemÄk esoÅ”ajÄ attÄlÄ.
FortiAnalyzer ir trÄ«s galvenÄs funkcijas: ziÅoÅ”ana, brÄ«dinÄjumi un arhivÄÅ”ana. ApskatÄ«sim katru no tiem.
PÄrskati ā pÄrskati nodroÅ”ina tÄ«kla notikumu, droŔības notikumu un dažÄdu darbÄ«bu, kas notiek atbalstÄ«tajÄs ierÄ«cÄs, vizuÄlu attÄlojumu. ZiÅoÅ”anas mehÄnisms apkopo nepiecieÅ”amos datus no esoÅ”ajiem žurnÄliem un parÄda tos viegli lasÄmÄ un analizÄjamÄ formÄ. Izmantojot pÄrskatus, varat Ätri iegÅ«t nepiecieÅ”amo informÄciju par ierÄ«ces veiktspÄju, tÄ«kla droŔību, apmeklÄtÄkajiem resursiem utt. Ir daudz iespÄju. PÄrskatus var izmantot arÄ«, lai analizÄtu tÄ«kla un atbalstÄ«to ierÄ«Äu statusu ilgÄkÄ laika periodÄ. Diezgan bieži tie ir neaizstÄjami, izmeklÄjot dažÄdus droŔības incidentus.
BrÄ«dinÄjumi ļauj Ätri reaÄ£Ät uz dažÄdiem draudiem tÄ«klÄ. SistÄma Ä£enerÄ brÄ«dinÄjumus, kad parÄdÄs žurnÄli, kas atbilst iepriekÅ” konfigurÄtiem nosacÄ«jumiem - vÄ«rusu noteikÅ”ana, dažÄdu ievainojamÄ«bu izmantoÅ”ana utt. Å os brÄ«dinÄjumus var redzÄt FortiAnalyzer tÄ«mekļa saskarnÄ, un jÅ«s varat konfigurÄt to sÅ«tÄ«Å”anu, izmantojot SNMP protokolu, uz syslog serveri un arÄ« uz noteiktÄm e-pasta adresÄm.
ArhivÄÅ”ana ļauj FortiAnalyzer saglabÄt dažÄda satura kopijas, kas plÅ«st tÄ«klÄ. To parasti izmanto kopÄ ar DLP dzinÄju, lai saglabÄtu dažÄdus failus, uz kuriem attiecas dažÄdi dzinÄja noteikumi. TÄ var bÅ«t noderÄ«ga arÄ« dažÄdu droŔības incidentu izmeklÄÅ”anÄ.
VÄl viena interesanta iezÄ«me ir iespÄja izmantot administratÄ«vos domÄnus. Å Ä« tehnoloÄ£ija ļauj izveidot ierÄ«Äu grupas, pamatojoties uz dažÄdiem kritÄrijiem ā ierÄ«Äu veidiem, Ä£eogrÄfisko atraÅ”anÄs vietu utt. Å Ädu ierÄ«Äu grupu izveide kalpo Å”Ädiem mÄrÄ·iem:
IerÄ«Äu grupÄÅ”ana, pamatojoties uz lÄ«dzÄ«giem parametriem, lai atvieglotu pÄrraudzÄ«bu un pÄrvaldÄ«bu, piemÄram, ierÄ«ces tiek grupÄtas pÄc Ä£eogrÄfiskÄs atraÅ”anÄs vietas. Jums ir jÄatrod informÄcija žurnÄlos par ierÄ«cÄm, kas atrodas tajÄ paÅ”Ä grupÄ. TÄ vietÄ, lai rÅ«pÄ«gi filtrÄtu žurnÄlus, vienkÄrÅ”i apskatiet vajadzÄ«gÄ administratÄ«vÄ domÄna žurnÄlus un meklÄjiet nepiecieÅ”amo informÄciju.
Lai atŔķirtu administratÄ«vo piekļuvi - katrÄ administratÄ«vajÄ domÄnÄ var bÅ«t viens vai vairÄki administratori, kuriem ir piekļuve tikai Å”im administratÄ«vajam domÄnam
EfektÄ«vi pÄrvaldiet diska vietu un ierÄ«ces datu krÄtuves politikas ā tÄ vietÄ, lai izveidotu vienu krÄtuves konfigurÄciju visÄm ierÄ«cÄm, administratÄ«vie domÄni ļauj iestatÄ«t piemÄrotÄkas konfigurÄcijas atseviŔķÄm ierÄ«Äu grupÄm. Tas var bÅ«t noderÄ«gi, ja jums ir vairÄkas ierÄ«ces, un no vienas ierÄ«Äu grupas jums ir jÄglabÄ dati par gadu, bet no citas - 3 gadus. AttiecÄ«gi katrai grupai var pieŔķirt piemÄrotu vietu diskÄ - grupai, kas Ä£enerÄ lielu skaitu žurnÄlu, pieŔķirt vairÄk vietas, bet citai grupai - mazÄk vietas.
FortiAnalyzer var darboties divos režīmos - Analyzer un Collector. DarbÄ«bas režīms tiek izvÄlÄts atkarÄ«bÄ no individuÄlajÄm prasÄ«bÄm un tÄ«kla topoloÄ£ijas.
Kad FortiAnalyzer darbojas analizatora režīmÄ, tas darbojas kÄ primÄrais baļķu apkopotÄjs no viena vai vairÄkiem baļķu savÄcÄjiem. Baļķu savÄcÄji ir gan FortiAnalyzer režīmÄ Collector, gan citas ierÄ«ces, kuras atbalsta FortiAnalyzer (to saraksts tika parÄdÄ«ts attÄlÄ iepriekÅ”). Å is darbÄ«bas režīms tiek izmantots pÄc noklusÄjuma.
Kad FortiAnalyzer darbojas Collector režīmÄ, tas apkopo žurnÄlus no citÄm ierÄ«cÄm un pÄc tam pÄrsÅ«ta tos uz citu ierÄ«ci, piemÄram, FortiAnalyzer Analyzer vai Syslog režīmÄ. KolekcionÄra režīmÄ FortiAnalyzer nevar izmantot lielÄko daļu funkciju, piemÄram, ziÅoÅ”anu un brÄ«dinÄjumus, jo tÄ galvenais mÄrÄ·is ir apkopot un pÄrsÅ«tÄ«t žurnÄlus.
VairÄku FortiAnalyzer ierÄ«Äu izmantoÅ”ana dažÄdos režīmos var palielinÄt produktivitÄti ā FortiAnalyzer savÄcÄja režīmÄ apkopo žurnÄlus no visÄm ierÄ«cÄm un nosÅ«ta tos analizatoram turpmÄkai analÄ«zei, kas ļauj FortiAnalyzer Analyzer režīmÄ ietaupÄ«t resursus, kas iztÄrÄti žurnÄlu saÅemÅ”anai no vairÄkÄm ierÄ«cÄm un pilnÄ«bÄ koncentrÄties uz žurnÄlu apstrÄde.
FortiAnalyzer atbalsta deklaratÄ«vo SQL vaicÄjumu valodu reÄ£istrÄÅ”anai un pÄrskatu veidoÅ”anai. Ar tÄs palÄ«dzÄ«bu žurnÄli tiek parÄdÄ«ti lasÄmÄ formÄ. TurklÄt, izmantojot Å”o vaicÄjumu valodu, tiek veidotas dažÄdas atskaites. DažÄm atskaiÅ”u iespÄjÄm ir nepiecieÅ”amas zinÄmas zinÄÅ”anas par SQL un datu bÄzÄm, taÄu FortiAnalyzer iebÅ«vÄtÄs iespÄjas bieži vien novÄrÅ” Ŕīs zinÄÅ”anas. MÄs ar to saskarsimies vÄlreiz, kad apsvÄrsim ziÅoÅ”anas mehÄnismu.
Pats FortiAnalyzer ir pieejams vairÄkÄs garÅ”Äs. TÄ var bÅ«t atseviŔķa fiziska ierÄ«ce, virtuÄlÄ maŔīna ā tiek atbalstÄ«ti dažÄdi hipervizori, pilnu to sarakstu var atrast datu lapas. To var arÄ« izvietot specializÄtÄs infrastruktÅ«rÄs - AWS. Azure, Google Cloud un citi. Un pÄdÄjÄ iespÄja ir FortiAnalyzer Cloud, Fortinet nodroÅ”inÄtais mÄkoÅpakalpojums.