Cześć przyjaciele! Mamy przyjemność powitać Cię na naszym nowym kursie wprowadzającym dotyczącym FortiAnalyzer. Na kursie Przyglądaliśmy się już funkcjonalności FortiAnalyzer, ale przeszliśmy przez to dość powierzchownie. Teraz chcę opowiedzieć bardziej szczegółowo o tym produkcie, o jego celach, zadaniach i możliwościach. Ten kurs nie powinien być tak obszerny jak poprzedni, ale mam nadzieję, że będzie interesujący i pouczający.
Ponieważ lekcja okazała się całkowicie teoretyczna, dla Państwa wygody postanowiliśmy przedstawić ją również w formie artykułu.
Podczas tego kursu omówimy następujące punkty:
- Ogólne informacje o produkcie, jego przeznaczeniu, zadaniach i kluczowych cechach
- Przygotujmy układ, w trakcie przygotowań szczegółowo przyjrzymy się początkowej konfiguracji FortiAnalyzer
- Zapoznajmy się z mechanizmem przechowywania, przetwarzania i filtrowania logów w celu łatwego wyszukiwania, a także rozważmy mechanizm FortiView, który prezentuje wizualną informację o stanie sieci w postaci różnorodnych wykresów, diagramów i innych widżetów
- Przyjrzyjmy się procesowi tworzenia istniejących raportów, a także dowiedzmy się, jak tworzyć własne raporty i edytować istniejące raporty
- Przejdźmy przez główne zagadnienia związane z administracją FortiAnalyzerem
- Omówmy jeszcze raz schemat licencjonowania - mówiłem już o tym w lekcji 11 kursu. , ale jak mówią, powtarzanie jest matką nauki.
Głównym celem FortiAnalyzer jest scentralizowane przechowywanie logów z jednego lub większej liczby urządzeń Fortinet, a także ich przetwarzanie i analiza. Dzięki temu administratorzy bezpieczeństwa mogą z jednego miejsca monitorować różne zdarzenia sieciowe i związane z bezpieczeństwem, szybko uzyskiwać niezbędne informacje z logów i widżetów oraz tworzyć raporty dotyczące wszystkich lub wybranych urządzeń.
Listę urządzeń, z których FortiAnalyzer może odbierać logi i je analizować przedstawia poniższy rysunek.
FortiAnalyzer ma trzy kluczowe funkcje: raportowanie, alerty i archiwizację. Przyjrzyjmy się każdemu z nich.
Raportowanie — raporty zapewniają wizualną reprezentację zdarzeń sieciowych, zdarzeń związanych z bezpieczeństwem i różnych działań zachodzących na obsługiwanych urządzeniach. Mechanizm raportowania zbiera niezbędne dane z istniejących logów i prezentuje je w formie łatwej do odczytania i analizy. Korzystając z raportów, możesz szybko uzyskać niezbędne informacje o wydajności urządzenia, bezpieczeństwie sieci, najczęściej odwiedzanych zasobach i tak dalej. Istnieje wiele opcji. Raporty można również wykorzystać do analizy stanu sieci i obsługiwanych urządzeń w długim okresie czasu. Dość często są one niezbędne podczas badania różnych incydentów bezpieczeństwa.
Alerty pozwalają szybko reagować na różne zagrożenia występujące w sieci. System generuje alerty, gdy pojawiają się logi spełniające wstępnie skonfigurowane warunki - wykrycie wirusa, wykorzystanie różnych luk w zabezpieczeniach i tak dalej. Alerty te można zobaczyć w interfejsie internetowym FortiAnalyzer i można skonfigurować ich wysyłanie za pośrednictwem protokołu SNMP do serwera syslog, a także na określone adresy e-mail.
Archiwizacja umożliwia przechowywanie kopii różnych treści przepływających przez sieć w FortiAnalyzerze. Jest to zwykle używane w połączeniu z silnikiem DLP do przechowywania różnych plików podlegających różnym regułom silnika. Może być również przydatny do badania różnych incydentów związanych z bezpieczeństwem.
Kolejną ciekawą funkcją jest możliwość korzystania z domen administracyjnych. Technologia ta umożliwia tworzenie grup urządzeń na podstawie różnych kryteriów – typów urządzeń, lokalizacji geograficznej i tak dalej. Tworzenie takich grup urządzeń służy następującym celom:
- Grupowanie urządzeń na podstawie podobnych cech w celu ułatwienia monitorowania i zarządzania — na przykład urządzenia są grupowane według lokalizacji geograficznej. Musisz znaleźć jakieś informacje w logach dla urządzeń znajdujących się w tej samej grupie. Zamiast dokładnie filtrować logi, po prostu przeglądasz logi dla wymaganej domeny administracyjnej i szukasz niezbędnych informacji.
- Aby rozróżnić dostęp administracyjny - każda domena administracyjna może mieć jednego lub więcej administratorów, którzy mają dostęp tylko do tej domeny administracyjnej
- Efektywnie zarządzaj miejscem na dysku i zasadami przechowywania danych urządzeń — zamiast tworzyć pojedynczą konfigurację magazynu dla wszystkich urządzeń, domeny administracyjne umożliwiają ustawienie bardziej odpowiednich konfiguracji dla poszczególnych grup urządzeń. Może się to przydać, jeśli masz kilka urządzeń i z jednej grupy urządzeń musisz przechowywać dane przez rok, a z drugiej - 3 lata. W związku z tym dla każdej grupy można przydzielić odpowiednią przestrzeń dyskową – dla grupy generującej dużą liczbę logów przydzielić więcej miejsca, a dla innej grupy – mniej miejsca.
FortiAnalyzer może pracować w dwóch trybach – Analyzer i Collector. Tryb pracy dobierany jest w zależności od indywidualnych wymagań i topologii sieci.
Gdy FortiAnalyzer działa w trybie Analyzer, działa jako główny agregator dzienników z jednego lub większej liczby modułów zbierających dzienniki. Kolektorami logów są zarówno FortiAnalyzer w trybie Collector, jak i inne urządzenia obsługiwane przez FortiAnalyzer (ich lista została pokazana powyżej na rysunku). Ten tryb pracy jest używany domyślnie.
Gdy FortiAnalyzer działa w trybie Collector, zbiera logi z innych urządzeń, a następnie przekazuje je do innego urządzenia, takiego jak FortiAnalyzer w trybie Analyzer lub Syslog. W trybie Collector FortiAnalyzer nie może korzystać z większości funkcji, takich jak raportowanie i alerty, ponieważ jego głównym celem jest zbieranie i przesyłanie dzienników.
Korzystanie z wielu urządzeń FortiAnalyzer w różnych trybach może zwiększyć produktywność - FortiAnalyzer w trybie Collector zbiera logi ze wszystkich urządzeń i wysyła je do Analyzera w celu późniejszej analizy, co pozwala FortiAnalyzer w trybie Analyzer zaoszczędzić zasoby wydawane na odbieranie logów z wielu urządzeń i skupić się całkowicie na przetwarzanie dziennika.
FortiAnalyzer obsługuje deklaratywny język zapytań SQL do rejestrowania i raportowania. Za jego pomocą logi prezentowane są w czytelnej formie. Ponadto przy użyciu tego języka zapytań budowane są różne raporty. Niektóre funkcje raportowania wymagają pewnej znajomości języka SQL i baz danych, ale wbudowane funkcje FortiAnalyzer często eliminują tę wiedzę. Spotkamy się z tym ponownie, rozważając mechanizm sprawozdawczy.
Sam FortiAnalyzer jest dostępny w kilku wersjach. Może to być osobne urządzenie fizyczne, maszyna wirtualna – obsługiwane są różne hypervisory, ich pełną listę znajdziesz w . Można go także wdrożyć w wyspecjalizowanych infrastrukturach – AWS. Azure, Google Cloud i inne. Ostatnią opcją jest FortiAnalyzer Cloud, usługa chmurowa udostępniana przez firmę Fortinet.
Na następnej lekcji przygotujemy układ do dalszej pracy praktycznej. Aby tego nie przegapić, zapisz się do naszego .
Możesz także śledzić aktualizacje w następujących zasobach:
Źródło: www.habr.com