Bună prieteni! Suntem încântați să vă urăm bun venit la noul nostru curs FortiAnalyzer Introducere. Pe curs Ne-am uitat deja la funcționalitatea FortiAnalyzer, dar am parcurs-o destul de superficial. Acum vreau să vă spun mai în detaliu despre acest produs, despre scopurile, obiectivele și capacitățile sale. Acest curs nu ar trebui să fie la fel de voluminos ca ultimul, dar sper că va fi interesant și informativ.
Deoarece lecția s-a dovedit a fi complet teoretică, pentru comoditatea dvs. am decis să o prezentăm și în format articol.
Pe parcursul acestui curs vom acoperi următoarele puncte:
- Informații generale despre produs, scopul său, sarcini și caracteristici cheie
- Să pregătim un aspect, în timpul pregătirii vom arunca o privire detaliată asupra configurației inițiale a FortiAnalyzer
- Să ne familiarizăm cu mecanismul de stocare, procesare și filtrare a jurnalelor pentru o căutare ușoară și, de asemenea, să luăm în considerare mecanismul FortiView, care prezintă informații vizuale despre starea rețelei sub formă de diferite grafice, diagrame și alte widget-uri
- Să ne uităm la procesul de creare a rapoartelor existente și, de asemenea, să învățăm cum să vă creați propriile rapoarte și să editați rapoartele existente
- Să trecem prin principalele probleme legate de administrarea FortiAnalyzer
- Să discutăm din nou despre schema de licențiere - am vorbit deja despre asta în lecția 11 a cursului. , dar după cum se spune, repetiția este mama învățării.
Scopul principal al FortiAnalyzer este stocarea centralizată a jurnalelor de la unul sau mai multe dispozitive Fortinet, precum și procesarea și analiza acestora. Acest lucru permite administratorilor de securitate să monitorizeze diverse evenimente de rețea și de securitate dintr-un singur loc, să obțină rapid informațiile necesare din jurnale și widget-uri și să creeze rapoarte pe toate dispozitivele sau pe anumite dispozitive.
Lista dispozitivelor de la care FortiAnalyzer poate primi jurnalele și le poate analiza este prezentată în figura de mai jos.
FortiAnalyzer are trei caracteristici cheie: raportare, alerte și arhivare. Să ne uităm la fiecare dintre ele.
Raportare - Rapoartele oferă o reprezentare vizuală a evenimentelor din rețea, evenimentelor de securitate și diferitelor activități care au loc pe dispozitivele acceptate. Mecanismul de raportare colectează datele necesare din jurnalele existente și le prezintă într-o formă ușor de citit și analizat. Folosind rapoarte, puteți obține rapid informațiile necesare despre performanța dispozitivului, securitatea rețelei, resursele cele mai vizitate și așa mai departe. Există o mulțime de opțiuni. Rapoartele pot fi folosite și pentru a analiza starea rețelei și a dispozitivelor acceptate pe o perioadă lungă de timp. Destul de des sunt indispensabile atunci când se investighează diverse incidente de securitate.
Alertele vă permit să răspundeți rapid la diferite amenințări care apar în rețea. Sistemul generează alerte atunci când apar jurnalele care îndeplinesc condițiile preconfigurate - detectarea virușilor, exploatarea diferitelor vulnerabilități și așa mai departe. Aceste alerte pot fi văzute în interfața web FortiAnalyzer și puteți configura trimiterea lor prin protocolul SNMP, către serverul syslog și, de asemenea, către anumite adrese de e-mail.
Arhivarea vă permite să stocați copii ale diferitelor conținuturi care circulă prin rețea pe FortiAnalyzer. Acesta este de obicei folosit împreună cu motorul DLP pentru a stoca diferite fișiere care se încadrează în diferitele reguli ale motorului. Poate fi util și pentru investigarea diferitelor incidente de securitate.
O altă caracteristică interesantă este capacitatea de a utiliza domenii administrative. Această tehnologie vă permite să creați grupuri de dispozitive pe baza diferitelor criterii - tipuri de dispozitive, locație geografică și așa mai departe. Crearea unor astfel de grupuri de dispozitive servește următoarelor scopuri:
- Gruparea dispozitivelor pe baza unor caracteristici similare pentru ușurința monitorizării și gestionării — de exemplu, dispozitivele sunt grupate în funcție de locația geografică. Trebuie să găsiți câteva informații în jurnalele pentru dispozitivele aflate în același grup. În loc să filtrați cu atenție jurnalele, pur și simplu vă uitați la jurnalele pentru domeniul administrativ necesar și căutați informațiile necesare.
- Pentru a diferenția accesul administrativ - fiecare domeniu administrativ poate avea unul sau mai mulți administratori care au acces numai la acest domeniu administrativ
- Gestionați eficient spațiul pe disc și politicile de stocare pentru datele dispozitivului - În loc să creați o singură configurație de stocare pentru toate dispozitivele, domeniile administrative vă permit să setați configurații mai adecvate pentru grupuri individuale de dispozitive. Acest lucru poate fi util dacă aveți mai multe dispozitive, iar dintr-un grup de dispozitive trebuie să stocați date timp de un an, iar de la altul - 3 ani. În consecință, puteți aloca spațiu pe disc adecvat pentru fiecare grup - pentru un grup care generează un număr mare de jurnale, alocați mai mult spațiu și pentru alt grup - mai puțin spațiu.
FortiAnalyzer poate funcționa în două moduri - Analizor și Colector. Modul de operare este selectat în funcție de cerințele individuale și de topologia rețelei.
Când FortiAnalyzer funcționează în modul Analizor, acesta acționează ca agregator primar de loguri de la unul sau mai mulți colectori de log. Colectatorii de jurnal sunt atât FortiAnalyzer în modul Collector, cât și alte dispozitive care sunt acceptate de FortiAnalyzer (lista lor a fost prezentată mai sus în figură). Acest mod de operare este utilizat implicit.
Când FortiAnalyzer rulează în modul colector, colectează jurnalele de la alte dispozitive și apoi le redirecționează către un alt dispozitiv, cum ar fi FortiAnalyzer în modul Analyzer sau Syslog. În modul de colectare, FortiAnalyzer nu poate folosi majoritatea funcțiilor, cum ar fi raportarea și alertele, deoarece scopul său principal este de a colecta și transmite jurnalele.
Folosirea mai multor dispozitive FortiAnalyzer în moduri diferite poate crește productivitatea - FortiAnalyzer în modul Collector colectează jurnalele de pe toate dispozitivele și le trimite la Analizor pentru analiza ulterioară, ceea ce permite FortiAnalyzer în modul Analizor să economisească resursele cheltuite pentru primirea jurnalelor de la mai multe dispozitive și să se concentreze în întregime pe procesare jurnal.
FortiAnalyzer acceptă limbajul de interogare SQL declarativ pentru înregistrare și raportare. Cu ajutorul acestuia, jurnalele sunt prezentate într-o formă care poate fi citită. De asemenea, folosind acest limbaj de interogare, sunt construite diverse rapoarte. Unele capabilități de raportare necesită cunoștințe SQL și baze de date, dar capabilitățile încorporate ale FortiAnalyzer elimină adesea aceste cunoștințe. Ne vom întâlni din nou cu acest lucru atunci când vom analiza mecanismul de raportare.
FortiAnalyzer în sine vine în mai multe arome. Acesta poate fi un dispozitiv fizic separat, o mașină virtuală - sunt acceptați diferiți hipervizori, lista lor completă poate fi găsită în . Poate fi implementat și în infrastructuri specializate - AWS. Azure, Google Cloud și altele. Și ultima opțiune este FortiAnalyzer Cloud, un serviciu cloud oferit de Fortinet.
În lecția următoare vom pregăti un aspect pentru lucrări practice ulterioare. Pentru a nu-l rata, abonează-te la nostru .
De asemenea, puteți urmări actualizările privind următoarele resurse:
Sursa: www.habr.com