Pozdravljeni prijatelji! Z veseljem vas pozdravljamo na našem novem tečaju FortiAnalyzer Getting Started. Na tečaju Funkcionalnost FortiAnalyzerja smo si že ogledali, vendar smo ga preučili precej površno. Zdaj vam želim podrobneje povedati o tem izdelku, o njegovih ciljih, ciljih in zmožnostih. Ta tečaj ne bi smel biti tako obsežen kot prejšnji, vendar upam, da bo zanimiv in poučen.
Ker se je lekcija izkazala za popolnoma teoretično, smo se za vaše udobje odločili, da jo predstavimo tudi v obliki članka.
Med tem tečajem bomo obravnavali naslednje točke:
- Splošni podatki o izdelku, njegovem namenu, nalogah in ključnih lastnostih
- Pripravimo postavitev, med pripravo si bomo podrobno ogledali začetno konfiguracijo FortiAnalyzerja
- Spoznajmo mehanizem za shranjevanje, obdelavo in filtriranje dnevnikov za enostavno iskanje ter razmislimo tudi o mehanizmu FortiView, ki predstavlja vizualne informacije o stanju omrežja v obliki različnih grafov, diagramov in drugih pripomočkov.
- Oglejmo si postopek ustvarjanja obstoječih poročil in se tudi naučimo, kako ustvariti lastna poročila in urediti obstoječa poročila
- Oglejmo si glavne težave, povezane z upravljanjem FortiAnalyzerja
- Ponovno razpravljajmo o shemi licenciranja – o tem sem že govoril v 11. lekciji tečaja. , a kot pravijo, ponavljanje je mati učenja.
Glavni namen FortiAnalyzerja je centralizirano shranjevanje dnevnikov iz ene ali več naprav Fortinet ter njihova obdelava in analiza. To varnostnim skrbnikom omogoča spremljanje različnih omrežnih in varnostnih dogodkov z enega mesta, hitro pridobivanje potrebnih informacij iz dnevnikov in pripomočkov ter ustvarjanje poročil o vseh ali določenih napravah.
Seznam naprav, iz katerih lahko FortiAnalyzer sprejema dnevnike in jih analizira, je predstavljen na spodnji sliki.
FortiAnalyzer ima tri ključne funkcije: poročanje, opozorila in arhiviranje. Oglejmo si vsakega od njih.
Poročanje – Poročila zagotavljajo vizualno predstavitev omrežnih dogodkov, varnostnih dogodkov in različnih dejavnosti, ki se dogajajo na podprtih napravah. Mehanizem poročanja zbira potrebne podatke iz obstoječih dnevnikov in jih predstavi v obliki, ki jo je enostavno brati in analizirati. S pomočjo poročil lahko hitro dobite potrebne informacije o zmogljivosti naprave, varnosti omrežja, najbolj obiskanih virih itd. Obstaja veliko možnosti. Poročila se lahko uporabljajo tudi za analizo stanja omrežja in podprtih naprav v daljšem časovnem obdobju. Nemalokrat so nepogrešljivi pri preiskovanju različnih varnostnih incidentov.
Opozorila vam omogočajo, da se hitro odzovete na različne grožnje, ki se pojavljajo v omrežju. Sistem generira opozorila, ko se pojavijo dnevniki, ki izpolnjujejo vnaprej konfigurirane pogoje - odkrivanje virusov, izkoriščanje različnih ranljivosti itd. Ta opozorila si lahko ogledate v spletnem vmesniku FortiAnalyzer in lahko konfigurirate njihovo pošiljanje prek protokola SNMP, na strežnik syslog in tudi na določene e-poštne naslove.
Arhiviranje vam omogoča shranjevanje kopij različnih vsebin, ki tečejo po omrežju, na FortiAnalyzer. To se običajno uporablja v povezavi z motorjem DLP za shranjevanje različnih datotek, ki spadajo pod različna pravila mehanizma. Uporaben je lahko tudi za preiskovanje različnih varnostnih incidentov.
Druga zanimiva funkcija je možnost uporabe administrativnih domen. Ta tehnologija vam omogoča ustvarjanje skupin naprav na podlagi različnih kriterijev – vrste naprav, geografska lokacija itd. Ustvarjanje takih skupin naprav je namenjeno naslednjim namenom:
- Združevanje naprav na podlagi podobnih značilnosti za lažje spremljanje in upravljanje – naprave so na primer razvrščene glede na geografsko lokacijo. V dnevnikih morate najti nekaj informacij za naprave, ki se nahajajo v isti skupini. Namesto skrbnega filtriranja dnevnikov si preprosto ogledate dnevnike za zahtevano administrativno domeno in poiščete potrebne informacije.
- Za razlikovanje administrativnega dostopa - vsaka administrativna domena ima lahko enega ali več skrbnikov, ki imajo dostop samo do te administrativne domene
- Učinkovito upravljajte diskovni prostor in pravilnike o shranjevanju podatkov o napravah – Namesto ustvarjanja ene konfiguracije shranjevanja za vse naprave vam skrbniške domene omogočajo nastavitev ustreznejših konfiguracij za posamezne skupine naprav. To je lahko uporabno, če imate več naprav in iz ene skupine naprav morate podatke hraniti eno leto, iz druge pa 3 leta. V skladu s tem lahko vsaki skupini dodelite ustrezen prostor na disku – skupini, ki ustvarja veliko število dnevnikov, dodelite več prostora, drugi skupini pa manj prostora.
FortiAnalyzer lahko deluje v dveh načinih - analizator in zbiralnik. Način delovanja se izbere glede na individualne zahteve in topologijo omrežja.
Ko FortiAnalyzer deluje v načinu analizatorja, deluje kot primarni zbiralnik dnevnikov iz enega ali več zbiralcev dnevnikov. Zbiralniki dnevnikov so FortiAnalyzer v načinu Collector in druge naprave, ki jih podpira FortiAnalyzer (njihov seznam je prikazan zgoraj na sliki). Ta način delovanja je privzeto uporabljen.
Ko FortiAnalyzer deluje v načinu Collector, zbira dnevnike iz drugih naprav in jih nato posreduje drugi napravi, kot je FortiAnalyzer v načinu Analyzer ali Syslog. V načinu Collector FortiAnalyzer ne more uporabljati večine funkcij, kot so poročanje in opozorila, saj je njegov glavni namen zbiranje in posredovanje dnevnikov.
Uporaba več naprav FortiAnalyzer v različnih načinih lahko poveča produktivnost - FortiAnalyzer v načinu Collector zbira dnevnike iz vseh naprav in jih pošlje analizatorju za nadaljnjo analizo, kar FortiAnalyzerju v načinu analizatorja omogoča, da prihrani vire, porabljene za prejemanje dnevnikov iz več naprav, in se popolnoma osredotoči na obdelava dnevnika.
FortiAnalyzer podpira deklarativni jezik poizvedb SQL za beleženje in poročanje. Z njegovo pomočjo so dnevniki predstavljeni v berljivi obliki. Tudi z uporabo tega poizvedbenega jezika so zgrajena različna poročila. Nekatere zmožnosti poročanja zahtevajo nekaj znanja SQL in baze podatkov, vendar vgrajene zmožnosti FortiAnalyzerja to znanje pogosto odpravijo. S tem se bomo znova srečali, ko bomo razmišljali o mehanizmu poročanja.
Sam FortiAnalyzer je na voljo v več okusih. To je lahko ločena fizična naprava, virtualni stroj - podprti so različni hipervizorji, njihov celoten seznam je na voljo v . Lahko se umesti tudi v specializirane infrastrukture – AWS. Azure, Google Cloud in drugi. In zadnja možnost je FortiAnalyzer Cloud, storitev v oblaku, ki jo ponuja Fortinet.
V naslednji lekciji bomo pripravili postavitev za nadaljnje praktično delo. Da tega ne zamudite, se naročite na našo .
Prav tako lahko spremljate posodobitve na naslednjih virih:
Vir: www.habr.com