Hallo vrienden! Wij heten u graag welkom bij onze nieuwe FortiAnalyzer Getting Started-cursus. Op koers We hebben al naar de functionaliteit van FortiAnalyzer gekeken, maar we zijn er nogal oppervlakkig doorheen gegaan. Nu wil ik u meer in detail vertellen over dit product, over de doelen, doelstellingen en mogelijkheden ervan. Deze cursus zou niet zo omvangrijk moeten zijn als de vorige, maar ik hoop dat hij interessant en informatief zal zijn.
Omdat de les volledig theoretisch bleek te zijn, hebben we voor uw gemak besloten deze ook in artikelformaat te presenteren.
Tijdens deze cursus behandelen we de volgende punten:
- Algemene informatie over het product, het doel, de taken en de belangrijkste kenmerken ervan
- Laten we een lay-out voorbereiden, tijdens de voorbereiding zullen we gedetailleerd kijken naar de initiële configuratie van FortiAnalyzer
- Laten we kennis maken met het mechanisme voor het opslaan, verwerken en filteren van logs voor eenvoudig zoeken, en ook eens kijken naar het FortiView-mechanisme, dat visuele informatie over de status van het netwerk presenteert in de vorm van verschillende grafieken, diagrammen en andere widgets
- Laten we eens kijken naar het proces van het maken van bestaande rapporten, en leren hoe u uw eigen rapporten kunt maken en bestaande rapporten kunt bewerken
- Laten we de belangrijkste kwesties met betrekking tot het beheer van FortiAnalyzer doornemen
- Laten we het licentiesysteem nog eens bespreken - ik heb er al over gesproken in les 11 van de cursus. , maar zoals ze zeggen: herhaling is de moeder van leren.
Het hoofddoel van FortiAnalyzer is de gecentraliseerde opslag van logs van een of meer Fortinet-apparaten, evenals de verwerking en analyse ervan. Hierdoor kunnen beveiligingsbeheerders verschillende netwerk- en beveiligingsgebeurtenissen vanaf één plek monitoren, snel de benodigde informatie uit logs en widgets verkrijgen en rapporten samenstellen op alle of specifieke apparaten.
De lijst met apparaten waarvan FortiAnalyzer logs kan ontvangen en analyseren, wordt weergegeven in de onderstaande afbeelding.
FortiAnalyzer heeft drie belangrijke functies: rapportage, waarschuwingen en archivering. Laten we ze allemaal bekijken.
Rapportage - Rapporten bieden een visuele weergave van netwerkgebeurtenissen, beveiligingsgebeurtenissen en verschillende activiteiten die plaatsvinden op ondersteunde apparaten. Het rapportagemechanisme verzamelt de benodigde gegevens uit bestaande logbestanden en presenteert deze in een vorm die gemakkelijk te lezen en analyseren is. Met behulp van rapporten kunt u snel de nodige informatie verkrijgen over de apparaatprestaties, netwerkbeveiliging, de meest bezochte bronnen, enzovoort. Er zijn veel opties. Rapporten kunnen ook worden gebruikt om de status van het netwerk en de ondersteunde apparaten over een langere periode te analyseren. Vaak zijn ze onmisbaar bij het onderzoeken van diverse beveiligingsincidenten.
Met waarschuwingen kunt u snel reageren op verschillende bedreigingen die zich op het netwerk voordoen. Het systeem genereert waarschuwingen wanneer er logboeken verschijnen die voldoen aan vooraf geconfigureerde voorwaarden: virusdetectie, misbruik van verschillende kwetsbaarheden, enzovoort. Deze waarschuwingen zijn te zien in de FortiAnalyzer-webinterface en u kunt de verzending ervan configureren via het SNMP-protocol, naar de syslog-server en ook naar specifieke e-mailadressen.
Door te archiveren kunt u kopieën opslaan van verschillende inhoud die over het netwerk stroomt op de FortiAnalyzer. Dit wordt meestal gebruikt in combinatie met de DLP-engine om verschillende bestanden op te slaan die onder de verschillende regels van de engine vallen. Het kan ook nuttig zijn voor het onderzoeken van verschillende beveiligingsincidenten.
Een ander interessant kenmerk is de mogelijkheid om administratieve domeinen te gebruiken. Met deze technologie kunt u groepen apparaten maken op basis van verschillende criteria: apparaattypen, geografische locatie, enzovoort. Het aanmaken van dergelijke apparaatgroepen dient de volgende doeleinden:
- Apparaten groeperen op basis van vergelijkbare kenmerken voor eenvoudige monitoring en beheer. Apparaten worden bijvoorbeeld gegroepeerd op geografische locatie. U moet bepaalde informatie vinden in de logboeken voor apparaten die zich in dezelfde groep bevinden. In plaats van de logs zorgvuldig te filteren, bekijkt u eenvoudigweg de logs voor het vereiste administratieve domein en zoekt u naar de benodigde informatie.
- Om onderscheid te maken tussen beheerderstoegang: elk beheerdersdomein kan een of meer beheerders hebben die alleen toegang hebben tot dit beheerdersdomein
- Beheer schijfruimte en opslagbeleid voor apparaatgegevens efficiënt - In plaats van één opslagconfiguratie voor alle apparaten te maken, kunt u met beheerdersdomeinen geschiktere configuraties instellen voor individuele groepen apparaten. Dit kan handig zijn als u meerdere apparaten heeft en van de ene groep apparaten de gegevens een jaar lang moet opslaan, en van de andere - 3 jaar. Dienovereenkomstig kunt u voor elke groep geschikte schijfruimte toewijzen - voor een groep die een groot aantal logboeken genereert, meer ruimte toewijzen, en voor een andere groep - minder ruimte.
FortiAnalyzer kan in twee modi werken: Analyzer en Collector. De bedrijfsmodus wordt afhankelijk van de individuele vereisten en netwerktopologie gekozen.
Wanneer FortiAnalyzer in de Analyzer-modus werkt, fungeert het als de primaire aggregator van logbestanden van een of meer logverzamelaars. Logboekverzamelaars zijn zowel FortiAnalyzer in Collector-modus als andere apparaten die worden ondersteund door FortiAnalyzer (hun lijst is hierboven in de afbeelding weergegeven). Deze bedrijfsmodus wordt standaard gebruikt.
Wanneer FortiAnalyzer in de Collector-modus draait, verzamelt het logbestanden van andere apparaten en stuurt deze vervolgens door naar een ander apparaat, zoals FortiAnalyzer in de Analyzer- of Syslog-modus. In de Collector-modus kan FortiAnalyzer de meeste functies, zoals rapportage en waarschuwingen, niet gebruiken, omdat het hoofddoel ervan is het verzamelen en doorsturen van logbestanden.
Het gebruik van meerdere FortiAnalyzer-apparaten in verschillende modi kan de productiviteit verhogen - FortiAnalyzer in Collector-modus verzamelt logbestanden van alle apparaten en stuurt deze naar de Analyzer voor daaropvolgende analyse, waardoor FortiAnalyzer in Analyzer-modus bronnen kan besparen die worden besteed aan het ontvangen van logs van meerdere apparaten en zich volledig kan concentreren op logboekverwerking.
FortiAnalyzer ondersteunt declaratieve SQL-querytaal voor logboekregistratie en rapportage. Met zijn hulp worden logboeken in een leesbare vorm gepresenteerd. Ook worden met behulp van deze zoektaal diverse rapporten gebouwd. Voor sommige rapportagemogelijkheden is enige SQL- en databasekennis vereist, maar de ingebouwde mogelijkheden van FortiAnalyzer elimineren deze kennis vaak. We zullen dit opnieuw tegenkomen als we het rapportagemechanisme beschouwen.
FortiAnalyzer zelf is verkrijgbaar in verschillende smaken. Dit kan een afzonderlijk fysiek apparaat zijn, een virtuele machine - er worden verschillende hypervisors ondersteund, hun volledige lijst is te vinden in . Het kan ook worden ingezet in gespecialiseerde infrastructuren - AWS. Azure, Google Cloud en anderen. En de laatste optie is FortiAnalyzer Cloud, een clouddienst van Fortinet.
In de volgende les maken we een lay-out voor verder praktijkwerk. Om het niet te missen, abonneer je op onze .
U kunt de updates ook volgen op de volgende bronnen:
Bron: www.habr.com