🥇1. FortiAnalyzer Darba sākšana v6.4. Ievads

Sveiki draugi! Mēs esam priecīgi sveikt jūs mūsu jaunajā FortiAnalyzer darba sākšanas kursā. Kursā Fortinet Darba sākšana Mēs jau esam apskatījuši FortiAnalyzer funkcionalitāti, taču mēs to izskatījām diezgan virspusēji. Tagad es vēlos jums pastāstīt sīkāk par šo produktu, par tā mērķiem, uzdevumiem un iespējām. Šim kursam nevajadzētu būt tik apjomīgam kā iepriekšējam, bet ceru, ka tas būs interesants un izzinošs.

Tā kā nodarbība izrādījās pilnībā teorētiska, jūsu ērtībām nolēmām to pasniegt arī raksta formātā.

Šī kursa laikā mēs apskatīsim šādus punktus:

Vispārīga informācija par produktu, tā mērķi, uzdevumiem un galvenajām funkcijām
Sagatavosim izkārtojumu, sagatavošanas laikā detalizēti apskatīsim FortiAnalyzer sākotnējo konfigurāciju
Iepazīsimies ar žurnālu glabāšanas, apstrādes un filtrēšanas mehānismu ērtai meklēšanai, kā arī apsvērsim FortiView mehānismu, kas dažādu grafiku, diagrammu un citu logrīku veidā sniedz vizuālu informāciju par tīkla stāvokli.
Apskatīsim esošo pārskatu izveides procesu, kā arī uzzināsim, kā izveidot savus pārskatus un rediģēt esošos pārskatus.
Apskatīsim galvenos ar FortiAnalyzer administrēšanu saistītos jautājumus
Vēlreiz apspriedīsim licencēšanas shēmu – par to jau runāju kursa 11. nodarbībā. Fortinet Darba sākšana, bet kā saka, atkārtošana ir mācīšanās māte.

FortiAnalyzer galvenais mērķis ir centralizēta žurnālu glabāšana no vienas vai vairākām Fortinet ierīcēm, kā arī to apstrāde un analīze. Tas ļauj drošības administratoriem no vienas vietas uzraudzīt dažādus tīkla un drošības notikumus, ātri iegūt nepieciešamo informāciju no žurnāliem un logrīkiem un veidot atskaites par visām vai konkrētām ierīcēm.
To ierīču saraksts, no kurām FortiAnalyzer var saņemt žurnālus un tos analizēt, ir parādīts zemāk esošajā attēlā.

FortiAnalyzer ir trīs galvenās funkcijas: ziņošana, brīdinājumi un arhivēšana. Apskatīsim katru no tiem.

Pārskati — pārskati nodrošina tīkla notikumu, drošības notikumu un dažādu darbību, kas notiek atbalstītajās ierīcēs, vizuālu attēlojumu. Ziņošanas mehānisms apkopo nepieciešamos datus no esošajiem žurnāliem un parāda tos viegli lasāmā un analizējamā formā. Izmantojot pārskatus, varat ātri iegūt nepieciešamo informāciju par ierīces veiktspēju, tīkla drošību, apmeklētākajiem resursiem utt. Ir daudz iespēju. Pārskatus var izmantot arī, lai analizētu tīkla un atbalstīto ierīču statusu ilgākā laika periodā. Diezgan bieži tie ir neaizstājami, izmeklējot dažādus drošības incidentus.

Brīdinājumi ļauj ātri reaģēt uz dažādiem draudiem tīklā. Sistēma ģenerē brīdinājumus, kad parādās žurnāli, kas atbilst iepriekš konfigurētiem nosacījumiem - vīrusu noteikšana, dažādu ievainojamību izmantošana utt. Šos brīdinājumus var redzēt FortiAnalyzer tīmekļa saskarnē, un jūs varat konfigurēt to sūtīšanu, izmantojot SNMP protokolu, uz syslog serveri un arī uz noteiktām e-pasta adresēm.

Arhivēšana ļauj FortiAnalyzer saglabāt dažāda satura kopijas, kas plūst tīklā. To parasti izmanto kopā ar DLP dzinēju, lai saglabātu dažādus failus, uz kuriem attiecas dažādi dzinēja noteikumi. Tā var būt noderīga arī dažādu drošības incidentu izmeklēšanā.

Vēl viena interesanta iezīme ir iespēja izmantot administratīvos domēnus. Šī tehnoloģija ļauj izveidot ierīču grupas, pamatojoties uz dažādiem kritērijiem – ierīču veidiem, ģeogrāfisko atrašanās vietu utt. Šādu ierīču grupu izveide kalpo šādiem mērķiem:

Ierīču grupēšana, pamatojoties uz līdzīgiem parametriem, lai atvieglotu pārraudzību un pārvaldību, piemēram, ierīces tiek grupētas pēc ģeogrāfiskās atrašanās vietas. Jums ir jāatrod informācija žurnālos par ierīcēm, kas atrodas tajā pašā grupā. Tā vietā, lai rūpīgi filtrētu žurnālus, vienkārši apskatiet vajadzīgā administratīvā domēna žurnālus un meklējiet nepieciešamo informāciju.
Lai atšķirtu administratīvo piekļuvi - katrā administratīvajā domēnā var būt viens vai vairāki administratori, kuriem ir piekļuve tikai šim administratīvajam domēnam
Efektīvi pārvaldiet diska vietu un ierīces datu krātuves politikas — tā vietā, lai izveidotu vienu krātuves konfigurāciju visām ierīcēm, administratīvie domēni ļauj iestatīt piemērotākas konfigurācijas atsevišķām ierīču grupām. Tas var būt noderīgi, ja jums ir vairākas ierīces, un no vienas ierīču grupas jums ir jāglabā dati par gadu, bet no citas - 3 gadus. Attiecīgi katrai grupai var piešķirt piemērotu vietu diskā - grupai, kas ģenerē lielu skaitu žurnālu, piešķirt vairāk vietas, bet citai grupai - mazāk vietas.

FortiAnalyzer var darboties divos režīmos - Analyzer un Collector. Darbības režīms tiek izvēlēts atkarībā no individuālajām prasībām un tīkla topoloģijas.

Kad FortiAnalyzer darbojas analizatora režīmā, tas darbojas kā primārais baļķu apkopotājs no viena vai vairākiem baļķu savācējiem. Baļķu savācēji ir gan FortiAnalyzer režīmā Collector, gan citas ierīces, kuras atbalsta FortiAnalyzer (to saraksts tika parādīts attēlā iepriekš). Šis darbības režīms tiek izmantots pēc noklusējuma.

Kad FortiAnalyzer darbojas Collector režīmā, tas apkopo žurnālus no citām ierīcēm un pēc tam pārsūta tos uz citu ierīci, piemēram, FortiAnalyzer Analyzer vai Syslog režīmā. Kolekcionāra režīmā FortiAnalyzer nevar izmantot lielāko daļu funkciju, piemēram, ziņošanu un brīdinājumus, jo tā galvenais mērķis ir apkopot un pārsūtīt žurnālus.

Vairāku FortiAnalyzer ierīču izmantošana dažādos režīmos var palielināt produktivitāti — FortiAnalyzer savācēja režīmā apkopo žurnālus no visām ierīcēm un nosūta tos analizatoram turpmākai analīzei, kas ļauj FortiAnalyzer Analyzer režīmā ietaupīt resursus, kas iztērēti žurnālu saņemšanai no vairākām ierīcēm un pilnībā koncentrēties uz žurnālu apstrāde.

FortiAnalyzer atbalsta deklaratīvo SQL vaicājumu valodu reģistrēšanai un pārskatu veidošanai. Ar tās palīdzību žurnāli tiek parādīti lasāmā formā. Turklāt, izmantojot šo vaicājumu valodu, tiek veidotas dažādas atskaites. Dažām atskaišu iespējām ir nepieciešamas zināmas zināšanas par SQL un datu bāzēm, taču FortiAnalyzer iebūvētās iespējas bieži vien novērš šīs zināšanas. Mēs ar to saskarsimies vēlreiz, kad apsvērsim ziņošanas mehānismu.

Pats FortiAnalyzer ir pieejams vairākās garšās. Tā var būt atsevišķa fiziska ierīce, virtuālā mašīna – tiek atbalstīti dažādi hipervizori, pilnu to sarakstu var atrast datu lapas. To var arī izvietot specializētās infrastruktūrās - AWS. Azure, Google Cloud un citi. Un pēdējā iespēja ir FortiAnalyzer Cloud, Fortinet nodrošinātais mākoņpakalpojums.

Nākamajā nodarbībā sagatavosim maketu turpmākajam praktiskajam darbam. Lai nepalaistu garām, abonējiet mūsu Youtube kanāls.

Varat arī sekot līdzi šo resursu atjauninājumiem:

Vkontakte kopiena
Yandex Zen
Mūsu vietne
Telegrammas kanāls

Avots: www.habr.com

1. FortiAnalyzer darba sākšana v6.4. Ievads

Pievieno komentāru Atcelt atbildi