salam sejahtera! Selamat datang ke pelajaran kesembilan kursus . Pada Kami meneliti mekanisme asas untuk mengawal akses pengguna kepada pelbagai sumber. Sekarang kita mempunyai tugas lain - kita perlu menganalisis tingkah laku pengguna pada rangkaian, dan juga mengkonfigurasi penerimaan data yang boleh membantu dalam penyiasatan pelbagai insiden keselamatan. Oleh itu, dalam pelajaran ini kita akan melihat mekanisme pembalakan dan pelaporan. Untuk ini, kami memerlukan FortiAnalyzer, yang kami gunakan pada permulaan kursus. Teori yang diperlukan, serta pelajaran video, tersedia di bawah potongan.
Dalam FotiGate, log dibahagikan kepada tiga jenis: log trafik, log peristiwa dan log keselamatan. Mereka, seterusnya, dibahagikan kepada subjenis.
Log trafik merekodkan maklumat aliran trafik seperti permintaan dan respons, jika ada. Jenis ini mengandungi subjenis Forward, Local dan Sniffer.
Subjenis Forward mengandungi maklumat tentang trafik yang FortiGate telah sama ada diterima atau ditolak berdasarkan dasar tembok api.
Subjenis Tempatan mengandungi maklumat tentang lalu lintas terus dari alamat IP FortiGate dan dari alamat IP dari mana pentadbiran dijalankan. Contohnya, sambungan ke antara muka web FortiGate.
Subjenis Sniffer mengandungi log trafik yang diperoleh menggunakan pencerminan trafik.
Log peristiwa mengandungi peristiwa sistem atau pentadbiran, seperti menambah atau menukar parameter, mewujudkan dan memecahkan terowong VPN, acara penghalaan dinamik dan sebagainya. Semua subjenis dibentangkan dalam rajah di bawah.
Dan jenis ketiga ialah log keselamatan. Log ini merekodkan peristiwa yang berkaitan dengan serangan virus, lawatan ke sumber yang dilarang, penggunaan aplikasi yang dilarang dan sebagainya. Senarai penuh juga ditunjukkan dalam rajah di bawah.
Anda boleh menyimpan log di tempat yang berbeza - baik di FortiGate itu sendiri dan di luarnya. Menyimpan balak di FortiGate dianggap pembalakan tempatan. Bergantung pada peranti itu sendiri, log boleh disimpan sama ada dalam memori denyar peranti atau pada cakera keras. Sebagai peraturan, model dari tengah mempunyai cakera keras. Model dengan cakera keras agak mudah dibezakan - terdapat unit di hujungnya. Sebagai contoh, FortiGate 100E datang tanpa cakera keras, dan FortiGate 101E disertakan dengan cakera keras.
Model yang lebih muda dan lebih tua biasanya tidak mempunyai cakera keras. Dalam kes ini, memori kilat digunakan untuk merekod log. Walau bagaimanapun, perlu dipertimbangkan bahawa sentiasa menulis log ke memori kilat boleh mengurangkan kecekapan dan hayat perkhidmatannya. Oleh itu, menulis log ke memori kilat dinyahdayakan secara lalai. Adalah disyorkan untuk mendayakannya hanya untuk acara log semasa menyelesaikan masalah tertentu.
Apabila merakam log secara intensif, tidak kira cakera keras atau memori kilat, prestasi peranti akan berkurangan.
Ia adalah perkara biasa untuk menyimpan log pada pelayan jauh. FortiGate boleh menyimpan log pada pelayan Syslog, FortiAnalyzer atau FortiManager. Anda juga boleh menggunakan perkhidmatan awan FortiCloud untuk menyimpan log.
Syslog ialah pelayan untuk menyimpan log secara berpusat daripada peranti rangkaian.
FortiCloud ialah perkhidmatan pengurusan keselamatan dan storan log berasaskan langganan. Dengan bantuannya, anda boleh menyimpan log dari jauh dan membina laporan yang sesuai. Jika anda mempunyai rangkaian yang agak kecil, penyelesaian yang baik mungkin menggunakan perkhidmatan awan ini daripada membeli peralatan tambahan. Terdapat versi percuma FortiCloud yang termasuk storan log mingguan. Selepas membeli langganan, log boleh disimpan selama setahun.
FortiAnalyzer dan FortiManager ialah peranti storan log luaran. Disebabkan fakta bahawa mereka semua mempunyai sistem pengendalian yang sama - FortiOS - penyepaduan FortiGate dengan peranti ini tidak menimbulkan sebarang kesulitan.
Walau bagaimanapun, terdapat perbezaan yang perlu diperhatikan antara peranti FortiAnalyzer dan FortiManager. Tujuan utama FortiManager ialah pengurusan terpusat bagi berbilang peranti FortiGate - oleh itu, jumlah memori untuk menyimpan log pada FortiManager adalah jauh lebih rendah daripada FortiAnalyzer (jika, sudah tentu, kami membandingkan model dari segmen harga yang sama).
Tujuan utama FortiAnalyzer adalah untuk mengumpul dan menganalisis log dengan tepat. Oleh itu, kami akan mempertimbangkan untuk bekerja dengannya dalam amalan.
Keseluruhan teori, serta bahagian praktikal, dibentangkan dalam pelajaran video ini:
Dalam pelajaran seterusnya, kami akan membincangkan asas-asas pentadbiran unit FortiGate. Untuk tidak ketinggalan, ikuti kemas kini pada saluran berikut:
Sumber: www.habr.com