Hello, kawan-kawan! Kami mengalu-alukan anda ke kursus Bermula FortiAnalyzer baharu kami. Dalam perjalanan kami telah mempertimbangkan kefungsian FortiAnalyzer, tetapi melaluinya secara dangkal. Sekarang saya ingin memberitahu anda lebih lanjut tentang produk ini, tentang matlamat, objektif dan keupayaannya. Kursus ini sepatutnya tidak terlalu banyak seperti yang terakhir, tetapi saya berharap ia akan menarik dan bermaklumat.
Oleh kerana pelajaran itu ternyata sepenuhnya teori, untuk kemudahan anda, kami memutuskan untuk membentangkannya juga dalam format artikel.
Semasa kursus ini, kami akan membincangkan perkara berikut:
- Maklumat am tentang produk, tujuannya, tugas dan ciri utama
- Mari sediakan susun atur, semasa penyediaan kami akan mempertimbangkan secara terperinci konfigurasi awal FortiAnalyzer
- Mari kita berkenalan dengan mekanisme untuk menyimpan, memproses dan menapis log untuk carian mudah mereka, dan juga pertimbangkan mekanisme FortiView, yang membentangkan maklumat visual tentang keadaan rangkaian dalam bentuk pelbagai graf, carta dan widget lain
- Pertimbangkan proses membuat laporan sedia ada, serta belajar cara membuat laporan anda sendiri dan mengedit laporan sedia ada
- Mari kita lihat isu-isu utama yang berkaitan dengan pentadbiran FortiAnalyzer
- Mari kita bincangkan semula skim pelesenan - saya sudah bercakap mengenainya dalam pelajaran 11 kursus tetapi, seperti yang mereka katakan, pengulangan adalah ibu kepada pembelajaran.
Tujuan utama FortiAnalyzer ialah penyimpanan log terpusat daripada satu atau lebih peranti Fortinet, serta pemprosesan dan analisisnya. Ini membolehkan pentadbir keselamatan menjejaki pelbagai rangkaian dan acara keselamatan dari satu tempat, mendapatkan maklumat yang diperlukan dengan cepat daripada log dan widget, dan membina laporan pada semua atau peranti yang diminati.
Senarai peranti dari mana FortiAnalyzer boleh menerima log dan menganalisisnya ditunjukkan dalam rajah di bawah.
FortiAnalyzer mempunyai tiga ciri utama - pelaporan, makluman, pengarkiban. Mari kita pertimbangkan setiap daripada mereka.
Pelaporan - Laporan menyediakan perwakilan visual acara rangkaian, acara keselamatan, pelbagai aktiviti yang berlaku pada peranti yang disokong. Mekanisme pelaporan mengumpul data yang diperlukan daripada log yang tersedia dan membentangkannya dalam bentuk yang mudah dibaca dan dianalisis. Dengan bantuan laporan, anda boleh mendapatkan maklumat yang diperlukan dengan cepat tentang prestasi peranti, keselamatan rangkaian, sumber yang paling banyak dilawati dan sebagainya. Terdapat banyak pilihan. Laporan juga boleh digunakan untuk menganalisis status rangkaian dan peranti yang disokong dalam jangka masa yang panjang. Selalunya, mereka amat diperlukan dalam penyiasatan pelbagai insiden keselamatan.
Makluman membolehkan anda bertindak balas dengan cepat kepada pelbagai ancaman yang berlaku pada rangkaian. Sistem menjana makluman apabila log muncul yang memenuhi syarat pra-konfigurasi - pengesanan virus, eksploitasi pelbagai kelemahan dan sebagainya. Makluman ini boleh dilihat dalam antara muka web FortiAnalyzer, serta dikonfigurasikan untuk menghantarnya melalui SNMP, ke pelayan syslog dan ke alamat e-mel tertentu.
Pengarkiban membolehkan FortiAnalyzer menyimpan salinan pelbagai kandungan yang melalui rangkaian. Ini biasanya digunakan bersama-sama dengan mekanisme DLP untuk menyimpan fail berbeza yang berada di bawah pelbagai peraturan mekanisme ini. Ia juga boleh berguna untuk menyiasat pelbagai insiden keselamatan.
Satu lagi ciri menarik ialah keupayaan untuk menggunakan domain pentadbiran. Teknologi ini membolehkan anda membuat kumpulan peranti mengikut pelbagai kriteria - jenis peranti, lokasi geografi dan sebagainya. Mencipta kumpulan peranti sedemikian mempunyai matlamat berikut:
- Mengumpulkan peranti mengikut kriteria yang serupa untuk pemantauan dan pengurusan yang mudah - katakan peranti dikumpulkan mengikut lokasi geografi. Anda perlu mencari beberapa maklumat dalam log untuk peranti yang berada dalam kumpulan yang sama. Daripada menapis log dengan teliti, anda hanya melihat log untuk domain pentadbiran yang diperlukan dan mencari maklumat yang anda perlukan.
- Untuk membezakan akses pentadbiran - setiap domain pentadbiran boleh mempunyai satu atau lebih pentadbir yang hanya mempunyai akses kepada domain pentadbiran ini
- Urus ruang cakera dan dasar storan peranti dengan cekap - Daripada mencipta konfigurasi storan tunggal untuk semua peranti, domain pentadbiran membenarkan anda menetapkan konfigurasi yang lebih sesuai untuk kumpulan peranti individu. Ini boleh berguna jika anda mempunyai beberapa peranti, dan anda perlu menyimpan data daripada satu kumpulan peranti selama setahun, dan dari satu lagi - 3 tahun. Sehubungan itu, ruang cakera yang sesuai boleh diperuntukkan untuk setiap kumpulan - lebih banyak ruang boleh diperuntukkan untuk kumpulan yang menjana sejumlah besar log, dan kurang ruang untuk kumpulan lain.
FortiAnalyzer boleh berfungsi dalam dua mod - Penganalisis dan Pemungut. Mod pengendalian dipilih bergantung pada keperluan individu dan topologi rangkaian.
Apabila berjalan dalam mod Analyzer, FortiAnalyzer bertindak sebagai agregator log utama daripada satu atau lebih pengumpul log. Pengumpul log ialah FortiAnalyzer dalam mod Pengumpul dan peranti lain yang disokong oleh FortiAnalyzer (senarai mereka diberikan di atas dalam rajah). Mod operasi ini digunakan secara lalai.
Apabila FortiAnalyzer berjalan dalam mod Pengumpul, ia mengumpul log daripada peranti lain dan kemudian memajukannya ke peranti lain, seperti FortiAnalyzer dalam mod Penganalisis atau Syslog. Dalam mod Pengumpul, FortiAnalyzer tidak boleh menggunakan kebanyakan ciri seperti pelaporan dan makluman kerana tujuan utamanya adalah untuk mengumpul dan memajukan log.
Menggunakan berbilang peranti FortiAnalyzer dalam mod berbeza boleh meningkatkan prestasi - FortiAnalyzer dalam mod Pengumpul mengumpul log daripada semua peranti dan menghantarnya ke Analyzer untuk analisis lanjut, yang membolehkan FortiAnalyzer dalam mod Analyzer menyimpan sumber yang dibelanjakan untuk menerima log daripada berbilang peranti dan menumpukan sepenuhnya pada pemprosesan log.
FortiAnalyzer menyokong bahasa pertanyaan SQL deklaratif untuk pengelogan dan pelaporan. Dengan itu, log dibentangkan dalam bentuk yang boleh dibaca. Selain itu, menggunakan bahasa pertanyaan ini, pelbagai laporan dibina. Sesetengah keupayaan pelaporan memerlukan sedikit pengetahuan tentang SQL dan pangkalan data, tetapi selalunya keupayaan terbina dalam FortiAnalyzer memungkinkan untuk memintas pengetahuan ini. Kami akan menemui ini sekali lagi apabila kita melihat mekanisme pelaporan.
FortiAnalyzer sendiri boleh dibentangkan dalam beberapa versi. Ia boleh menjadi peranti fizikal yang berasingan, mesin maya - hipervisor berbeza disokong, senarai penuhnya boleh didapati di . Ia juga boleh digunakan dalam infrastruktur khusus - AWS. Azure, Google Cloud dan lain-lain. Dan pilihan terakhir ialah FortiAnalyzer Cloud, perkhidmatan awan yang disediakan oleh Fortinet.
Dalam pelajaran seterusnya, kami akan menyediakan susun atur untuk kerja amali selanjutnya. Langgan kami .
Anda juga boleh mengikuti kemas kini mengenai sumber berikut:
Sumber: www.habr.com