Dobrý deň, priatelia! Sme radi, že vás môžeme privítať v našom novom kurze FortiAnalyzer Začíname. V kurze Funkcionalitu FortiAnalyzera sme si už pozreli, no prešli sme si to dosť povrchne. Teraz vám chcem povedať podrobnejšie o tomto produkte, o jeho cieľoch, cieľoch a schopnostiach. Tento kurz by nemal byť taký objemný ako ten predchádzajúci, ale dúfam, že bude zaujímavý a poučný.
Keďže sa lekcia ukázala ako úplne teoretická, pre vaše pohodlie sme sa ju rozhodli uviesť aj vo forme článku.
Počas tohto kurzu sa budeme zaoberať nasledujúcimi bodmi:
- Všeobecné informácie o produkte, jeho účele, úlohách a kľúčových vlastnostiach
- Pripravíme si layout, počas prípravy sa podrobne pozrieme na úvodnú konfiguráciu FortiAnalyzer
- Zoznámime sa s mechanizmom na ukladanie, spracovanie a filtrovanie protokolov pre jednoduché vyhľadávanie a tiež zvážime mechanizmus FortiView, ktorý poskytuje vizuálne informácie o stave siete vo forme rôznych grafov, diagramov a iných widgetov.
- Pozrime sa na proces vytvárania existujúcich prehľadov a tiež sa naučíme, ako vytvárať vlastné prehľady a upravovať existujúce prehľady
- Poďme si prejsť hlavné problémy súvisiace so správou FortiAnalyzer
- Poďme diskutovať o licenčnej schéme - už som o nej hovoril v lekcii 11 kurzu. , ale ako sa hovorí, opakovanie je matka učenia.
Hlavným účelom FortiAnalyzer je centralizované ukladanie protokolov z jedného alebo viacerých zariadení Fortinet, ako aj ich spracovanie a analýza. To umožňuje bezpečnostným administrátorom monitorovať rôzne sieťové a bezpečnostné udalosti z jedného miesta, rýchlo získavať potrebné informácie z protokolov a widgetov a vytvárať správy na všetkých alebo konkrétnych zariadeniach.
Zoznam zariadení, z ktorých môže FortiAnalyzer prijímať protokoly a analyzovať ich, je uvedený na obrázku nižšie.
FortiAnalyzer má tri kľúčové funkcie: hlásenie, upozornenia a archivácia. Pozrime sa na každú z nich.
Hlásenie – Hlásenia poskytujú vizuálnu reprezentáciu sieťových udalostí, bezpečnostných udalostí a rôznych aktivít vyskytujúcich sa na podporovaných zariadeniach. Mechanizmus podávania správ zhromažďuje potrebné údaje z existujúcich protokolov a prezentuje ich vo forme, ktorá sa dá ľahko čítať a analyzovať. Pomocou prehľadov môžete rýchlo získať potrebné informácie o výkone zariadenia, zabezpečení siete, najnavštevovanejších zdrojoch atď. Možností je veľa. Správy možno použiť aj na analýzu stavu siete a podporovaných zariadení počas dlhého časového obdobia. Pomerne často sú nepostrádateľné pri vyšetrovaní rôznych bezpečnostných incidentov.
Upozornenia vám umožňujú rýchlo reagovať na rôzne hrozby vyskytujúce sa v sieti. Systém generuje upozornenia, keď sa objavia protokoly, ktoré spĺňajú vopred nakonfigurované podmienky – detekcia vírusov, zneužitie rôznych zraniteľností atď. Tieto upozornenia je možné vidieť vo webovom rozhraní FortiAnalyzer a je možné nakonfigurovať ich odosielanie prostredníctvom protokolu SNMP, na server syslog a tiež na konkrétne e-mailové adresy.
Archivácia vám umožňuje ukladať kópie rôzneho obsahu prúdiaceho cez sieť na FortiAnalyzer. Toto sa zvyčajne používa v spojení s jadrom DLP na ukladanie rôznych súborov, ktoré spadajú pod rôzne pravidlá tohto nástroja. Môže byť tiež užitočný pri vyšetrovaní rôznych bezpečnostných incidentov.
Ďalšou zaujímavou funkciou je možnosť využitia administračných domén. Táto technológia vám umožňuje vytvárať skupiny zariadení na základe rôznych kritérií – typu zariadení, geografickej polohy atď. Vytvorenie takýchto skupín zariadení slúži na tieto účely:
- Zoskupovanie zariadení na základe podobných charakteristík pre jednoduché monitorovanie a správu – zariadenia sú napríklad zoskupené podľa geografickej polohy. Pre zariadenia nachádzajúce sa v rovnakej skupine musíte nájsť nejaké informácie v protokoloch. Namiesto starostlivého filtrovania protokolov si jednoducho pozriete protokoly pre požadovanú administratívnu doménu a vyhľadáte potrebné informácie.
- Na rozlíšenie administratívneho prístupu – každá administratívna doména môže mať jedného alebo viacerých správcov, ktorí majú prístup len k tejto administratívnej doméne
- Efektívne spravujte diskový priestor a zásady ukladania údajov zariadení – Namiesto vytvárania jednej konfigurácie úložiska pre všetky zariadenia vám administratívne domény umožňujú nastaviť vhodnejšie konfigurácie pre jednotlivé skupiny zariadení. To môže byť užitočné, ak máte niekoľko zariadení a z jednej skupiny zariadení potrebujete ukladať údaje na rok az inej - 3 roky. Podľa toho môžete pre každú skupinu prideliť vhodné miesto na disku - pre skupinu, ktorá generuje veľké množstvo protokolov, prideliť viac miesta a pre ďalšiu skupinu - menej miesta.
FortiAnalyzer môže pracovať v dvoch režimoch – Analyzer a Collector. Prevádzkový režim sa volí v závislosti od individuálnych požiadaviek a topológie siete.
Keď FortiAnalyzer pracuje v režime Analyzer, funguje ako primárny agregátor protokolov z jedného alebo viacerých zberačov protokolov. Zberače denníkov sú FortiAnalyzer v režime Collector a ďalšie zariadenia, ktoré FortiAnalyzer podporuje (ich zoznam je zobrazený vyššie na obrázku). Tento prevádzkový režim sa používa štandardne.
Keď FortiAnalyzer beží v režime zberateľa, zbiera protokoly z iných zariadení a potom ich posiela do iného zariadenia, ako je FortiAnalyzer v režime Analyzer alebo Syslog. V režime zberateľa nemôže FortiAnalyzer používať väčšinu funkcií, ako sú hlásenia a upozornenia, pretože jeho hlavným účelom je zhromažďovať a posielať protokoly.
Používanie viacerých zariadení FortiAnalyzer v rôznych režimoch môže zvýšiť produktivitu – FortiAnalyzer v režime Collector zhromažďuje protokoly zo všetkých zariadení a odosiela ich do analyzátora na následnú analýzu, čo umožňuje FortiAnalyzer v režime Analyzer šetriť zdroje vynaložené na prijímanie protokolov z viacerých zariadení a sústrediť sa výlučne na spracovanie denníka.
FortiAnalyzer podporuje deklaratívny dotazovací jazyk SQL pre protokolovanie a vytváranie správ. S jeho pomocou sú protokoly prezentované v čitateľnej forme. Pomocou tohto dopytovacieho jazyka sa tiež vytvárajú rôzne zostavy. Niektoré reportovacie funkcie vyžadujú určité znalosti SQL a databáz, ale vstavané funkcie FortiAnalyzer tieto znalosti často eliminujú. Opäť sa s tým stretneme, keď zvážime mechanizmus podávania správ.
Samotný FortiAnalyzer prichádza v niekoľkých príchutiach. Môže to byť samostatné fyzické zariadenie, virtuálny stroj – podporované sú rôzne hypervízory, ich úplný zoznam nájdete v . Môže byť nasadený aj v špecializovaných infraštruktúrach – AWS. Azure, Google Cloud a ďalšie. A poslednou možnosťou je FortiAnalyzer Cloud, cloudová služba, ktorú poskytuje Fortinet.
V ďalšej lekcii si pripravíme layout pre ďalšiu praktickú prácu. Aby ste to nezmeškali, prihláste sa na odber nášho .
Môžete tiež sledovať aktualizácie nasledujúcich zdrojov:
Zdroj: hab.com