Велики поздрав! Добродошли на девету лекцију курса . Он Испитали смо основне механизме за контролу приступа корисника различитим ресурсима. Сада имамо још један задатак – треба да анализирамо понашање корисника на мрежи, а такође и да конфигуришемо пријем података који могу помоћи у истрази различитих безбедносних инцидената. Стога ћемо у овој лекцији погледати механизам евидентирања и извештавања. За ово ће нам требати ФортиАнализер, који смо применили на почетку курса. Неопходна теорија, као и видео лекција, доступни су испод реза.
У ФотиГате-у, евиденције су подељене у три типа: евиденције саобраћаја, евиденције догађаја и безбедносне евиденције. Они су, пак, подељени на подврсте.
Дневници саобраћаја бележе информације о току саобраћаја као што су захтеви и одговори, ако их има. Овај тип садржи подтипове Форвард, Лоцал и Сниффер.
Подтип Форвард садржи информације о саобраћају који је ФортиГате или прихватио или одбио на основу смерница заштитног зида.
Локални подтип садржи информације о саобраћају директно са ФортиГате ИП адресе и са ИП адреса са којих се врши администрација. На пример, везе са ФортиГате веб интерфејсом.
Подтип Сниффер садржи евиденције саобраћаја који су добијени коришћењем пресликавања саобраћаја.
Дневници догађаја садрже системске или административне догађаје, као што су додавање или промена параметара, успостављање и разбијање ВПН тунела, догађаји динамичког рутирања итд. Сви подтипови су представљени на слици испод.
А трећа врста су сигурносни дневники. Ови дневники бележе догађаје у вези са нападима вируса, посетама забрањеним ресурсима, коришћењем забрањених апликација итд. Комплетна листа је такође представљена на слици испод.
Дневнике можете да складиштите на различитим местима - и на самом ФортиГате-у и ван њега. Чување дневника на ФортиГате-у се сматра локалним евидентирањем. У зависности од самог уређаја, евиденције се могу чувати или у флеш меморији уређаја или на чврстом диску. По правилу, модели из средине имају чврсти диск. Моделе са чврстим диском је прилично лако разликовати - на крају се налази јединица. На пример, ФортиГате 100Е долази без чврстог диска, а ФортиГате 101Е долази са чврстим диском.
Млађи и старији модели обично немају чврсти диск. У овом случају, флеш меморија се користи за снимање дневника. Међутим, вреди узети у обзир да стално писање дневника у флеш меморију може смањити њену ефикасност и радни век. Због тога је писање дневника у флеш меморију подразумевано онемогућено. Препоручује се да га омогућите само за евидентирање догађаја док решавате одређене проблеме.
Приликом интензивног снимања дневника, није битно за чврсти диск или флеш меморију, перформансе уређаја ће се смањити.
Сасвим је уобичајено чувати евиденције на удаљеним серверима. ФортиГате може да складишти дневнике на Сислог серверима, ФортиАнализер или ФортиМанагер. Такође можете да користите услугу ФортиЦлоуд у облаку за чување дневника.
Сислог је сервер за централно складиштење дневника са мрежних уређаја.
ФортиЦлоуд је услуга за управљање безбедношћу и складиштење дневника заснована на претплати. Уз његову помоћ, можете даљински да складиштите евиденције и правите одговарајуће извештаје. Ако имате прилично малу мрежу, добро решење може бити коришћење ове услуге у облаку уместо куповине додатне опреме. Постоји бесплатна верзија ФортиЦлоуд-а која укључује недељно складиштење дневника. Након куповине претплате, евиденције се могу чувати годину дана.
ФортиАнализер и ФортиМанагер су спољни уређаји за складиштење дневника. Због чињенице да сви имају исти оперативни систем - ФортиОС - интеграција ФортиГате-а са овим уређајима не представља никакве потешкоће.
Међутим, постоје разлике које треба приметити између уређаја ФортиАнализер и ФортиМанагер. Основна сврха ФортиМанагер-а је централизовано управљање вишеструким ФортиГате уређајима – дакле, количина меморије за чување дневника на ФортиМанагер-у је знатно мања него на ФортиАнализер-у (ако, наравно, упоредимо моделе из истог ценовног сегмента).
Главна сврха ФортиАнализер-а је управо прикупљање и анализа дневника. Стога ћемо даље размотрити рад са тим у пракси.
Цела теорија, као и практични део, представљени су у овој видео лекцији:
У следећој лекцији ћемо покрити основе администрирања ФортиГате јединице. Да га не бисте пропустили, пратите ажурирања на следећим каналима:
Извор: ввв.хабр.цом
