Hälsningar! Välkommen till kursens nionde lektion . på Vi undersökte de grundläggande mekanismerna för att kontrollera användaråtkomst till olika resurser. Nu har vi en annan uppgift - vi måste analysera beteendet hos användare på nätverket och även konfigurera mottagandet av data som kan hjälpa till vid utredningen av olika säkerhetsincidenter. Därför kommer vi i den här lektionen att titta på loggnings- och rapporteringsmekanismen. För detta kommer vi att behöva FortiAnalyzer, som vi distribuerade i början av kursen. Den nödvändiga teorin, samt en videolektion, finns under snittet.
I FotiGate är loggar indelade i tre typer: trafikloggar, händelseloggar och säkerhetsloggar. De är i sin tur indelade i undertyper.
Trafikloggar registrerar trafikflödesinformation såsom förfrågningar och svar, om några. Denna typ innehåller undertyperna Forward, Local och Sniffer.
Undertypen Forward innehåller information om trafik som FortiGate antingen har accepterat eller avvisat baserat på brandväggspolicyer.
Den lokala subtypen innehåller information om trafik direkt från FortiGate IP-adressen och från de IP-adresser från vilka administrationen utförs. Till exempel anslutningar till FortiGates webbgränssnitt.
Undertypen Sniffer innehåller trafikloggar som erhölls med trafikspegling.
Händelseloggar innehåller system- eller administrativa händelser, som att lägga till eller ändra parametrar, upprätta och bryta VPN-tunnlar, dynamiska routinghändelser och så vidare. Alla undertyper presenteras i figuren nedan.
Och den tredje typen är säkerhetsloggar. Dessa loggar registrerar händelser relaterade till virusattacker, besök på förbjudna resurser, användning av förbjudna program och så vidare. Den fullständiga listan presenteras också i figuren nedan.
Du kan lagra loggar på olika ställen – både på själva FortiGate och utanför den. Att lagra loggar på FortiGate betraktas som lokal loggning. Beroende på själva enheten kan loggar lagras antingen i enhetens flashminne eller på hårddisken. Som regel har modeller från mitten en hårddisk. Modeller med hårddisk är ganska lätta att särskilja - det finns en enhet i slutet. Till exempel kommer FortiGate 100E utan hårddisk och FortiGate 101E kommer med hårddisk.
Yngre och äldre modeller har vanligtvis ingen hårddisk. I det här fallet används flashminne för att spela in loggar. Det är dock värt att tänka på att att ständigt skriva loggar till flashminnet kan minska dess effektivitet och livslängd. Därför är skrivning av loggar till flashminnet inaktiverat som standard. Det rekommenderas att aktivera det endast för att logga händelser samtidigt som specifika problem löses.
Vid intensiv inspelning av loggar spelar det ingen roll för hårddisken eller flashminnet, enhetens prestanda kommer att minska.
Det är ganska vanligt att lagra loggar på fjärrservrar. FortiGate kan lagra loggar på Syslog-servrar, FortiAnalyzer eller FortiManager. Du kan också använda FortiClouds molntjänst för att lagra loggar.
Syslog är en server för att centralt lagra loggar från nätverksenheter.
FortiCloud är en prenumerationsbaserad tjänst för säkerhetshantering och logglagring. Med hjälp av den kan du lagra loggar på distans och skapa lämpliga rapporter. Om du har ett ganska litet nätverk kan en bra lösning vara att använda denna molntjänst snarare än att köpa ytterligare utrustning. Det finns en gratisversion av FortiCloud som inkluderar veckologglagring. Efter köp av ett abonnemang kan loggar lagras i ett år.
FortiAnalyzer och FortiManager är externa logglagringsenheter. På grund av det faktum att de alla har samma operativsystem - FortiOS - innebär integrationen av FortiGate med dessa enheter inga svårigheter.
Det finns dock skillnader att notera mellan FortiAnalyzer- och FortiManager-enheterna. Huvudsyftet med FortiManager är centraliserad hantering av flera FortiGate-enheter - därför är mängden minne för att lagra loggar på FortiManager betydligt mindre än på FortiAnalyzer (om vi förstås jämför modeller från samma prissegment).
Huvudsyftet med FortiAnalyzer är just att samla in och analysera loggar. Därför kommer vi vidare att överväga att arbeta med det i praktiken.
Hela teorin, såväl som den praktiska delen, presenteras i denna videolektion:
I nästa lektion kommer vi att täcka grunderna för att administrera en FortiGate-enhet. För att inte missa det, följ uppdateringarna på följande kanaler:
Källa: will.com