Hej kompisar! Vi är glada att välkomna dig till vår nya FortiAnalyzer Komma igång-kurs. På rätt kurs Vi har redan tittat på funktionaliteten i FortiAnalyzer, men vi gick igenom det ganska ytligt. Nu vill jag berätta mer detaljerat om den här produkten, om dess mål, mål och förmågor. Den här kursen borde inte vara lika omfattande som den förra, men jag hoppas att den ska vara intressant och informativ.
Eftersom lektionen visade sig vara helt teoretisk, beslutade vi för din bekvämlighet att presentera den också i artikelformat.
Under denna kurs kommer vi att ta upp följande punkter:
- Allmän information om produkten, dess syfte, uppgifter och nyckelfunktioner
- Låt oss förbereda en layout, under förberedelsen tar vi en detaljerad titt på den initiala konfigurationen av FortiAnalyzer
- Låt oss bekanta oss med mekanismen för att lagra, bearbeta och filtrera loggar för enkel sökning, och även överväga FortiView-mekanismen, som presenterar visuell information om nätverkets tillstånd i form av olika grafer, diagram och andra widgets
- Låt oss titta på processen för att skapa befintliga rapporter, och även lära oss hur du skapar dina egna rapporter och redigerar befintliga rapporter
- Låt oss gå igenom de viktigaste frågorna relaterade till FortiAnalyzer-administration
- Låt oss diskutera licenssystemet igen - jag pratade redan om det i lektion 11 i kursen. , men som de säger, upprepning är lärandets moder.
Huvudsyftet med FortiAnalyzer är centraliserad lagring av loggar från en eller flera Fortinet-enheter, samt deras bearbetning och analys. Detta gör att säkerhetsadministratörer kan övervaka olika nätverks- och säkerhetshändelser från ett ställe, snabbt få den nödvändiga informationen från loggar och widgets och bygga rapporter på alla eller specifika enheter.
Listan över enheter från vilka FortiAnalyzer kan ta emot loggar och analysera dem presenteras i figuren nedan.
FortiAnalyzer har tre nyckelfunktioner: rapportering, varningar och arkivering. Låt oss titta på var och en av dem.
Rapportering – Rapporter ger en visuell representation av nätverkshändelser, säkerhetshändelser och olika aktiviteter som inträffar på enheter som stöds. Rapporteringsmekanismen samlar in nödvändig data från befintliga loggar och presenterar dem i en form som är lätt att läsa och analysera. Med hjälp av rapporter kan du snabbt få nödvändig information om enhetens prestanda, nätverkssäkerhet, de mest besökta resurserna och så vidare. Det finns många alternativ. Rapporter kan också användas för att analysera statusen för nätverket och enheter som stöds under en lång tidsperiod. Ganska ofta är de oumbärliga när man utreder olika säkerhetsincidenter.
Med varningar kan du snabbt svara på olika hot som uppstår i nätverket. Systemet genererar varningar när loggar dyker upp som uppfyller förkonfigurerade villkor - virusdetektering, utnyttjande av olika sårbarheter och så vidare. Dessa varningar kan ses i FortiAnalyzers webbgränssnitt, och du kan konfigurera sändningen av dem via SNMP-protokollet, till syslog-servern och även till specifika e-postadresser.
Arkivering låter dig lagra kopior av olika innehåll som flödar över nätverket på FortiAnalyzer. Detta används vanligtvis tillsammans med DLP-motorn för att lagra olika filer som faller under motorns olika regler. Det kan också vara användbart för att undersöka olika säkerhetsincidenter.
En annan intressant funktion är möjligheten att använda administrativa domäner. Denna teknik låter dig skapa grupper av enheter baserat på olika kriterier - enhetstyper, geografisk plats och så vidare. Skapandet av sådana enhetsgrupper tjänar följande syften:
- Gruppering av enheter baserat på liknande egenskaper för enkel övervakning och hantering – till exempel grupperas enheter efter geografisk plats. Du måste hitta lite information i loggarna för enheter som finns i samma grupp. Istället för att noggrant filtrera loggarna tittar du helt enkelt på loggarna för den administrativa domänen som krävs och letar efter nödvändig information.
- För att skilja administrativ åtkomst – varje administrativ domän kan ha en eller flera administratörer som endast har åtkomst till denna administrativa domän
- Hantera diskutrymme och lagringspolicyer för enhetsdata effektivt – Istället för att skapa en enda lagringskonfiguration för alla enheter låter administrativa domäner dig ställa in lämpligare konfigurationer för enskilda grupper av enheter. Detta kan vara användbart om du har flera enheter, och från en grupp enheter behöver du lagra data i ett år och från en annan - 3 år. Följaktligen kan du tilldela lämpligt diskutrymme för varje grupp - för en grupp som genererar ett stort antal loggar, allokera mer utrymme och för en annan grupp - mindre utrymme.
FortiAnalyzer kan fungera i två lägen - Analyzer och Collector. Driftläget väljs beroende på individuella krav och nätverkstopologi.
När FortiAnalyzer arbetar i analysläge fungerar den som den primära aggregatorn av loggar från en eller flera logginsamlare. Loggsamlare är både FortiAnalyzer i Collector-läge och andra enheter som stöds av FortiAnalyzer (deras lista visades ovan i figuren). Detta driftläge används som standard.
När FortiAnalyzer körs i Collector-läge, samlar den in loggar från andra enheter och vidarebefordrar dem sedan till en annan enhet, som FortiAnalyzer i Analyzer- eller Syslog-läge. I Collector-läge kan FortiAnalyzer inte använda de flesta funktioner, såsom rapportering och varningar, eftersom dess huvudsakliga syfte är att samla in och vidarebefordra loggar.
Att använda flera FortiAnalyzer-enheter i olika lägen kan öka produktiviteten - FortiAnalyzer i Collector-läge samlar in loggar från alla enheter och skickar dem till Analyzer för efterföljande analys, vilket gör att FortiAnalyzer i Analyzer-läge kan spara resurser som spenderas på att ta emot loggar från flera enheter och fokusera helt på loggbearbetning.
FortiAnalyzer stöder deklarativt SQL-frågespråk för loggning och rapportering. Med dess hjälp presenteras loggar i en läsbar form. Med hjälp av det här frågespråket skapas också olika rapporter. Vissa rapporteringsmöjligheter kräver viss SQL- och databaskunskap, men FortiAnalyzers inbyggda möjligheter eliminerar ofta denna kunskap. Vi kommer att stöta på detta igen när vi överväger rapporteringsmekanismen.
FortiAnalyzer i sig finns i flera smaker. Detta kan vara en separat fysisk enhet, en virtuell maskin - olika hypervisorer stöds, deras fullständiga lista finns i . Det kan också distribueras i specialiserade infrastrukturer - AWS. Azure, Google Cloud och andra. Och det sista alternativet är FortiAnalyzer Cloud, en molntjänst som tillhandahålls av Fortinet.
I nästa lektion kommer vi att förbereda en layout för vidare praktiskt arbete. För att inte missa det, prenumerera på vår .
Du kan också följa uppdateringarna om följande resurser:
Källa: will.com