Olá amigos! Temos o prazer de recebê-lo em nosso novo curso de introdução ao FortiAnalyzer. Em curso Já examinamos a funcionalidade do FortiAnalyzer, mas a examinamos de maneira bastante superficial. Agora quero falar mais detalhadamente sobre este produto, sobre suas metas, objetivos e capacidades. Este curso não deve ser tão volumoso quanto o anterior, mas espero que seja interessante e informativo.
Como a aula acabou sendo totalmente teórica, para sua comodidade decidimos apresentá-la também em formato de artigo.
Durante este curso abordaremos os seguintes pontos:
- Informações gerais sobre o produto, sua finalidade, tarefas e principais recursos
- Vamos preparar um layout, durante a preparação daremos uma olhada detalhada na configuração inicial do FortiAnalyzer
- Vamos conhecer o mecanismo de armazenamento, processamento e filtragem de logs para facilitar a busca, e também considerar o mecanismo FortiView, que apresenta informações visuais sobre o estado da rede na forma de diversos gráficos, diagramas e outros widgets
- Vejamos o processo de criação de relatórios existentes e também aprenderemos como criar seus próprios relatórios e editar relatórios existentes
- Vamos examinar os principais problemas relacionados à administração do FortiAnalyzer
- Vamos discutir novamente o esquema de licenciamento - já falei sobre isso na aula 11 do curso. , mas como dizem, a repetição é a mãe do aprendizado.
O principal objetivo do FortiAnalyzer é o armazenamento centralizado de logs de um ou mais dispositivos Fortinet, bem como seu processamento e análise. Isso permite que os administradores de segurança monitorem vários eventos de rede e de segurança em um só lugar, obtenham rapidamente as informações necessárias de logs e widgets e criem relatórios sobre todos ou dispositivos específicos.
A lista de dispositivos dos quais o FortiAnalyzer pode receber logs e analisá-los é apresentada na figura abaixo.
O FortiAnalyzer possui três recursos principais: relatórios, alertas e arquivamento. Vejamos cada um deles.
Relatórios - Os relatórios fornecem uma representação visual de eventos de rede, eventos de segurança e diversas atividades que ocorrem em dispositivos suportados. O mecanismo de relatório coleta os dados necessários dos logs existentes e os apresenta em um formato fácil de ler e analisar. Usando relatórios, você pode obter rapidamente as informações necessárias sobre o desempenho do dispositivo, segurança da rede, recursos mais visitados e assim por diante. Há muitas opções. Os relatórios também podem ser usados para analisar o status da rede e dos dispositivos suportados durante um longo período de tempo. Muitas vezes são indispensáveis na investigação de vários incidentes de segurança.
Os alertas permitem que você responda rapidamente a várias ameaças que ocorrem na rede. O sistema gera alertas quando aparecem logs que atendem às condições pré-configuradas - detecção de vírus, exploração de diversas vulnerabilidades e assim por diante. Esses alertas podem ser visualizados na interface web do FortiAnalyzer, podendo configurar seu envio via protocolo SNMP, para o servidor syslog, e também para endereços de e-mail específicos.
O arquivamento permite armazenar cópias de vários conteúdos que fluem pela rede no FortiAnalyzer. Isso geralmente é usado em conjunto com o mecanismo DLP para armazenar vários arquivos que se enquadram nas diferentes regras do mecanismo. Também pode ser útil para investigar vários incidentes de segurança.
Outra característica interessante é a possibilidade de utilizar domínios administrativos. Essa tecnologia permite criar grupos de dispositivos com base em vários critérios – tipos de dispositivos, localização geográfica e assim por diante. A criação de tais grupos de dispositivos atende aos seguintes propósitos:
- Agrupar dispositivos com base em características semelhantes para facilitar o monitoramento e o gerenciamento — por exemplo, os dispositivos são agrupados por localização geográfica. Você precisa encontrar algumas informações nos logs dos dispositivos localizados no mesmo grupo. Em vez de filtrar cuidadosamente os logs, basta examinar os logs do domínio administrativo necessário e procurar as informações necessárias.
- Para diferenciar o acesso administrativo - cada domínio administrativo pode ter um ou mais administradores que tenham acesso apenas a este domínio administrativo
- Gerencie com eficiência o espaço em disco e as políticas de armazenamento para dados do dispositivo - Em vez de criar uma configuração de armazenamento única para todos os dispositivos, os domínios administrativos permitem que você defina configurações mais apropriadas para grupos individuais de dispositivos. Isso pode ser útil se você tiver vários dispositivos e precisar armazenar dados de um grupo de dispositivos por um ano e de outro por 3 anos. Assim, você pode alocar espaço em disco adequado para cada grupo - para um grupo que gera um grande número de logs, aloque mais espaço e para outro grupo - menos espaço.
O FortiAnalyzer pode operar em dois modos – Analisador e Coletor. O modo operacional é selecionado dependendo dos requisitos individuais e da topologia da rede.
Quando o FortiAnalyzer opera no modo Analisador, ele atua como o principal agregador de logs de um ou mais coletores de log. Os coletores de log são FortiAnalyzer no modo Collector e outros dispositivos suportados pelo FortiAnalyzer (sua lista foi mostrada acima na figura). Este modo de operação é usado por padrão.
Quando o FortiAnalyzer é executado no modo Coletor, ele coleta logs de outros dispositivos e os encaminha para outro dispositivo, como o FortiAnalyzer no modo Analisador ou Syslog. No modo Coletor, o FortiAnalyzer não pode utilizar a maioria dos recursos, como relatórios e alertas, pois seu objetivo principal é coletar e encaminhar logs.
O uso de vários dispositivos FortiAnalyzer em modos diferentes pode aumentar a produtividade - o FortiAnalyzer no modo Coletor coleta logs de todos os dispositivos e os envia ao Analisador para análise subsequente, o que permite que o FortiAnalyzer no modo Analisador economize recursos gastos no recebimento de logs de vários dispositivos e se concentre inteiramente em processamento de logs.
FortiAnalyzer suporta linguagem de consulta SQL declarativa para registro e relatórios. Com sua ajuda, os logs são apresentados de forma legível. Além disso, usando esta linguagem de consulta, vários relatórios são construídos. Alguns recursos de relatório exigem algum conhecimento de SQL e de banco de dados, mas os recursos integrados do FortiAnalyzer geralmente eliminam esse conhecimento. Iremos encontrar isto novamente quando considerarmos o mecanismo de denúncia.
O próprio FortiAnalyzer vem em vários sabores. Pode ser um dispositivo físico separado, uma máquina virtual - diferentes hipervisores são suportados, sua lista completa pode ser encontrada em . Também pode ser implantado em infraestruturas especializadas – AWS. Azure, Google Cloud e outros. E a última opção é o FortiAnalyzer Cloud, um serviço em nuvem fornecido pela Fortinet.
Na próxima lição prepararemos um layout para futuros trabalhos práticos. Para não perder, assine nosso .
Você também pode acompanhar as atualizações nos seguintes recursos:
Fonte: habr.com