Përshëndetje miq! Kemi kënaqësinë t'ju mirëpresim në kursin tonë të ri FortiAnalyzer Getting Started. Në kurs Ne kemi parë tashmë funksionalitetin e FortiAnalyzer, por e kemi kaluar atë mjaft sipërfaqësisht. Tani dua t'ju tregoj më në detaje për këtë produkt, për qëllimet, objektivat dhe aftësitë e tij. Ky kurs nuk duhet të jetë aq voluminoz sa ai i fundit, por shpresoj se do të jetë interesant dhe informues.
Meqenëse mësimi doli të ishte tërësisht teorik, për lehtësinë tuaj vendosëm ta paraqesim atë edhe në formatin e artikullit.
Gjatë këtij kursi do të trajtojmë pikat e mëposhtme:
- Informacione të përgjithshme për produktin, qëllimin, detyrat dhe veçoritë kryesore të tij
- Le të përgatisim një plan urbanistik, gjatë përgatitjes do të hedhim një vështrim të detajuar në konfigurimin fillestar të FortiAnalyzer
- Le të njihemi me mekanizmin e ruajtjes, përpunimit dhe filtrimit të regjistrave për kërkim të lehtë, si dhe të konsiderojmë mekanizmin FortiView, i cili paraqet informacion vizual për gjendjen e rrjetit në formën e grafikëve, diagrameve dhe miniaplikacioneve të ndryshme.
- Le të shohim procesin e krijimit të raporteve ekzistuese, dhe gjithashtu të mësojmë se si të krijoni raportet tuaja dhe të modifikoni raportet ekzistuese
- Le të kalojmë nëpër çështjet kryesore që lidhen me administrimin e FortiAnalyzer
- Le të diskutojmë përsëri skemën e licencimit - kam folur tashmë për të në mësimin 11 të kursit. , por siç thonë ata, përsëritja është nëna e të mësuarit.
Qëllimi kryesor i FortiAnalyzer është ruajtja e centralizuar e regjistrave nga një ose më shumë pajisje Fortinet, si dhe përpunimi dhe analizimi i tyre. Kjo i lejon administratorët e sigurisë të monitorojnë ngjarje të ndryshme të rrjetit dhe sigurisë nga një vend, të marrin shpejt informacionin e nevojshëm nga regjistrat dhe miniaplikacionet dhe të krijojnë raporte në të gjitha ose pajisje specifike.
Lista e pajisjeve nga të cilat FortiAnalyzer mund të marrë regjistrat dhe t'i analizojë ato është paraqitur në figurën më poshtë.
FortiAnalyzer ka tre veçori kryesore: raportimin, sinjalizimet dhe arkivimin. Le të shohim secilën prej tyre.
Raportimi - Raportet ofrojnë një paraqitje vizuale të ngjarjeve të rrjetit, ngjarjeve të sigurisë dhe aktiviteteve të ndryshme që ndodhin në pajisjet e mbështetura. Mekanizmi i raportimit mbledh të dhënat e nevojshme nga regjistrat ekzistues dhe i paraqet ato në një formë të lehtë për t'u lexuar dhe analizuar. Duke përdorur raportet, mund të merrni shpejt informacionin e nevojshëm për performancën e pajisjes, sigurinë e rrjetit, burimet më të vizituara, etj. Ka shumë opsione. Raportet mund të përdoren gjithashtu për të analizuar statusin e rrjetit dhe pajisjeve të mbështetura për një periudhë të gjatë kohore. Shumë shpesh ato janë të domosdoshme kur hetohen incidente të ndryshme sigurie.
Alarmet ju lejojnë t'i përgjigjeni shpejt kërcënimeve të ndryshme që ndodhin në rrjet. Sistemi gjeneron alarme kur shfaqen regjistrat që plotësojnë kushtet e para-konfiguruara - zbulimi i virusit, shfrytëzimi i dobësive të ndryshme, etj. Këto sinjalizime mund të shihen në ndërfaqen e internetit të FortiAnalyzer dhe mund të konfiguroni dërgimin e tyre nëpërmjet protokollit SNMP, te serveri syslog dhe gjithashtu në adresa specifike të emailit.
Arkivimi ju lejon të ruani kopje të përmbajtjeve të ndryshme që rrjedhin nëpër rrjet në FortiAnalyzer. Kjo zakonisht përdoret në lidhje me motorin DLP për të ruajtur skedarë të ndryshëm që bien nën rregulla të ndryshme të motorit. Mund të jetë gjithashtu i dobishëm për hetimin e incidenteve të ndryshme të sigurisë.
Një veçori tjetër interesante është aftësia për të përdorur domenet administrative. Kjo teknologji ju lejon të krijoni grupe pajisjesh bazuar në kritere të ndryshme - llojet e pajisjeve, vendndodhjen gjeografike, etj. Krijimi i grupeve të tilla të pajisjeve shërben për qëllimet e mëposhtme:
- Grupimi i pajisjeve bazuar në karakteristika të ngjashme për lehtësinë e monitorimit dhe menaxhimit - për shembull, pajisjet grupohen sipas vendndodhjes gjeografike. Ju duhet të gjeni disa informacione në regjistrat për pajisjet e vendosura në të njëjtin grup. Në vend që të filtroni me kujdes regjistrat, thjesht shikoni regjistrat për domenin e kërkuar administrativ dhe kërkoni informacionin e nevojshëm.
- Për të diferencuar aksesin administrativ - çdo domen administrativ mund të ketë një ose më shumë administratorë të cilët kanë qasje vetëm në këtë domen administrativ
- Menaxhoni me efikasitet hapësirën e diskut dhe politikat e ruajtjes për të dhënat e pajisjes - Në vend që të krijoni një konfigurim të vetëm ruajtjeje për të gjitha pajisjet, domenet administrative ju lejojnë të vendosni konfigurime më të përshtatshme për grupe individuale pajisjesh. Kjo mund të jetë e dobishme nëse keni disa pajisje, dhe nga një grup pajisjesh ju duhet të ruani të dhëna për një vit, dhe nga një tjetër - 3 vjet. Prandaj, ju mund të ndani hapësirë të përshtatshme në disk për secilin grup - për një grup që gjeneron një numër të madh regjistrash, ndani më shumë hapësirë, dhe për një grup tjetër - më pak hapësirë.
FortiAnalyzer mund të funksionojë në dy mënyra - Analyzer dhe Collector. Mënyra e funksionimit zgjidhet në varësi të kërkesave individuale dhe topologjisë së rrjetit.
Kur FortiAnalyzer funksionon në modalitetin Analyzer, ai vepron si grumbulluesi kryesor i regjistrave nga një ose më shumë mbledhës regjistrash. Mbledhësit e regjistrave janë si FortiAnalyzer në modalitetin Collector ashtu edhe pajisje të tjera që mbështeten nga FortiAnalyzer (lista e tyre u tregua më lart në figurë). Ky modalitet funksionimi përdoret si parazgjedhje.
Kur FortiAnalyzer funksionon në modalitetin e koleksionistit, ai mbledh regjistrat nga pajisjet e tjera dhe më pas i përcjell ato në një pajisje tjetër, si FortiAnalyzer në modalitetin Analyzer ose Syslog. Në modalitetin e koleksionistit, FortiAnalyzer nuk mund të përdorë shumicën e veçorive, të tilla si raportimi dhe sinjalizimet, sepse qëllimi i tij kryesor është mbledhja dhe përcjellja e regjistrave.
Përdorimi i shumë pajisjeve FortiAnalyzer në mënyra të ndryshme mund të rrisë produktivitetin - FortiAnalyzer në modalitetin Kolektor mbledh regjistrat nga të gjitha pajisjet dhe i dërgon ato te Analyzer për analiza të mëvonshme, gjë që lejon FortiAnalyzer në modalitetin Analyzer të kursejë burimet e shpenzuara për marrjen e regjistrave nga shumë pajisje dhe të fokusohet tërësisht në përpunimi i regjistrave.
FortiAnalyzer mbështet gjuhën deklarative të pyetjeve SQL për regjistrimin dhe raportimin. Me ndihmën e tij, regjistrat paraqiten në një formë të lexueshme. Gjithashtu, duke përdorur këtë gjuhë pyetëse, ndërtohen raporte të ndryshme. Disa aftësi raportimi kërkojnë disa njohuri SQL dhe bazën e të dhënave, por aftësitë e integruara të FortiAnalyzer shpesh e eliminojnë këtë njohuri. Këtë do ta hasim sërish kur të shqyrtojmë mekanizmin e raportimit.
Vetë FortiAnalyzer vjen në disa shije. Kjo mund të jetë një pajisje fizike e veçantë, një makinë virtuale - hipervizorë të ndryshëm mbështeten, lista e tyre e plotë mund të gjendet në . Mund të vendoset gjithashtu në infrastruktura të specializuara - AWS. Azure, Google Cloud dhe të tjerë. Dhe opsioni i fundit është FortiAnalyzer Cloud, një shërbim cloud i ofruar nga Fortinet.
Në mësimin tjetër do të përgatisim një plan urbanistik për punë praktike të mëtejshme. Për të mos e humbur, abonohuni në faqen tonë .
Ju gjithashtu mund të ndiqni përditësimet në burimet e mëposhtme:
Burimi: www.habr.com