Hilsener! Velkommen til den niende leksjonen i kurset . På Vi undersøkte de grunnleggende mekanismene for å kontrollere brukertilgang til ulike ressurser. Nå har vi en annen oppgave - vi må analysere oppførselen til brukere på nettverket, og også konfigurere mottak av data som kan hjelpe i etterforskningen av ulike sikkerhetshendelser. Derfor vil vi i denne leksjonen se på loggings- og rapporteringsmekanismen. Til dette trenger vi FortiAnalyzer, som vi distribuerte i begynnelsen av kurset. Den nødvendige teorien, samt en videoleksjon, er tilgjengelig under kuttet.
I FotiGate er logger delt inn i tre typer: trafikklogger, hendelseslogger og sikkerhetslogger. De er på sin side delt inn i undertyper.
Trafikklogger registrerer trafikkflytinformasjon som forespørsler og svar, hvis noen. Denne typen inneholder undertypene Forward, Local og Sniffer.
Forward-undertypen inneholder informasjon om trafikk som FortiGate enten har akseptert eller avvist basert på brannmurpolicyer.
Den lokale undertypen inneholder informasjon om trafikk direkte fra FortiGate IP-adressen og fra IP-adressene som administrasjonen utføres fra. For eksempel tilkoblinger til FortiGate-nettgrensesnittet.
Sniffer-undertypen inneholder logger over trafikk som ble hentet ved hjelp av trafikkspeiling.
Hendelseslogger inneholder system- eller administrative hendelser, som å legge til eller endre parametere, etablere og bryte VPN-tunneler, dynamiske rutinghendelser og så videre. Alle undertyper er presentert i figuren nedenfor.
Og den tredje typen er sikkerhetslogger. Disse loggene registrerer hendelser relatert til virusangrep, besøk på forbudte ressurser, bruk av forbudte applikasjoner og så videre. Den fullstendige listen er også presentert i figuren nedenfor.
Du kan lagre logger på forskjellige steder – både på selve FortiGate og utenfor den. Lagring av logger på FortiGate regnes som lokal logging. Avhengig av selve enheten kan logger lagres enten i enhetens flashminne eller på harddisken. Som regel har modeller fra midten en harddisk. Modeller med harddisk er ganske enkle å skille - det er en enhet på slutten. For eksempel kommer FortiGate 100E uten harddisk, og FortiGate 101E kommer med harddisk.
Yngre og eldre modeller har vanligvis ikke harddisk. I dette tilfellet brukes flash-minne til å registrere logger. Det er imidlertid verdt å tenke på at konstant skriving av logger til flash-minne kan redusere effektiviteten og levetiden. Derfor er skriving av logger til flash-minne deaktivert som standard. Det anbefales å aktivere det bare for logging av hendelser mens du løser spesifikke problemer.
Når du registrerer logger intensivt, spiller det ingen rolle for harddisken eller flashminnet, enhetens ytelse vil reduseres.
Det er ganske vanlig å lagre logger på eksterne servere. FortiGate kan lagre logger på Syslog-servere, FortiAnalyzer eller FortiManager. Du kan også bruke FortiCloud-skytjenesten til å lagre logger.
Syslog er en server for sentral lagring av logger fra nettverksenheter.
FortiCloud er en abonnementsbasert sikkerhetsadministrasjon og logglagringstjeneste. Med dens hjelp kan du eksternt lagre logger og bygge passende rapporter. Har du et ganske lite nettverk, kan en god løsning være å bruke denne skytjenesten fremfor å kjøpe ekstra utstyr. Det er en gratisversjon av FortiCloud som inkluderer ukentlig logglagring. Etter kjøp av abonnement kan logger lagres i ett år.
FortiAnalyzer og FortiManager er eksterne logglagringsenheter. På grunn av det faktum at de alle har samme operativsystem - FortiOS - gir integrering av FortiGate med disse enhetene noen vanskeligheter.
Det er imidlertid forskjeller å merke seg mellom FortiAnalyzer- og FortiManager-enhetene. Hovedformålet med FortiManager er sentralisert administrasjon av flere FortiGate-enheter - derfor er mengden minne for lagring av logger på FortiManager betydelig mindre enn på FortiAnalyzer (hvis vi selvfølgelig sammenligner modeller fra samme prissegment).
Hovedformålet med FortiAnalyzer er nettopp å samle inn og analysere logger. Derfor vil vi videre vurdere å jobbe med det i praksis.
Hele teorien, så vel som den praktiske delen, presenteres i denne videoleksjonen:
I neste leksjon vil vi dekke det grunnleggende om å administrere en FortiGate-enhet. For ikke å gå glipp av det, følg oppdateringene på følgende kanaler:
Kilde: www.habr.com