สวัสดีเพื่อน! เรามีความยินดีที่จะต้อนรับคุณสู่หลักสูตรเริ่มต้นใช้งาน FortiAnalyzer ใหม่ของเรา ในหลักสูตร เราได้ดูฟังก์ชันการทำงานของ FortiAnalyzer แล้ว แต่เราได้ผ่านมันไปอย่างเผินๆ ตอนนี้ฉันอยากจะบอกคุณในรายละเอียดเพิ่มเติมเกี่ยวกับผลิตภัณฑ์นี้ เกี่ยวกับเป้าหมาย วัตถุประสงค์ และความสามารถ หลักสูตรนี้ไม่ควรใหญ่โตเท่ากับหลักสูตรที่แล้ว แต่ฉันหวังว่าหลักสูตรนี้จะน่าสนใจและให้ข้อมูล
เนื่องจากบทเรียนนี้เป็นบทเรียนเชิงทฤษฎีทั้งหมด เพื่อความสะดวกของคุณ เราจึงตัดสินใจนำเสนอในรูปแบบบทความด้วย
ในระหว่างหลักสูตรนี้ เราจะครอบคลุมประเด็นต่อไปนี้:
- ข้อมูลทั่วไปเกี่ยวกับผลิตภัณฑ์ วัตถุประสงค์ งาน และคุณลักษณะที่สำคัญ
- มาเตรียมเลย์เอาต์กันดีกว่า ในระหว่างการเตรียมเราจะดูรายละเอียดเกี่ยวกับการกำหนดค่าเริ่มต้นของ FortiAnalyzer
- มาทำความรู้จักกับกลไกในการจัดเก็บ ประมวลผล และกรองบันทึกเพื่อให้ค้นหาได้ง่าย และพิจารณากลไก FortiView ซึ่งนำเสนอข้อมูลภาพเกี่ยวกับสถานะของเครือข่ายในรูปแบบของกราฟ ไดอะแกรม และวิดเจ็ตอื่น ๆ
- มาดูกระบวนการสร้างรายงานที่มีอยู่ และเรียนรู้วิธีสร้างรายงานของคุณเองและแก้ไขรายงานที่มีอยู่
- มาดูประเด็นหลักที่เกี่ยวข้องกับการดูแลระบบ FortiAnalyzer กัน
- มาหารือเกี่ยวกับรูปแบบการออกใบอนุญาตอีกครั้ง - ฉันได้พูดถึงเรื่องนี้ไปแล้วในบทที่ 11 ของหลักสูตร แต่อย่างที่พวกเขาพูด การทำซ้ำคือบ่อเกิดของการเรียนรู้
วัตถุประสงค์หลักของ FortiAnalyzer คือการจัดเก็บบันทึกแบบรวมศูนย์จากอุปกรณ์ Fortinet ตั้งแต่หนึ่งเครื่องขึ้นไป ตลอดจนการประมวลผลและการวิเคราะห์ ช่วยให้ผู้ดูแลระบบความปลอดภัยสามารถตรวจสอบเหตุการณ์เครือข่ายและความปลอดภัยต่างๆ ได้จากที่เดียว รับข้อมูลที่จำเป็นจากบันทึกและวิดเจ็ตได้อย่างรวดเร็ว และสร้างรายงานบนอุปกรณ์ทั้งหมดหรือเฉพาะเจาะจง
รายการอุปกรณ์ที่ FortiAnalyzer สามารถรับบันทึกและวิเคราะห์ได้แสดงไว้ในภาพด้านล่าง
FortiAnalyzer มีคุณสมบัติหลักสามประการ: การรายงาน การแจ้งเตือน และการเก็บถาวร มาดูกันทีละอัน
การรายงาน - รายงานจะแสดงภาพกิจกรรมเครือข่าย กิจกรรมด้านความปลอดภัย และกิจกรรมต่างๆ ที่เกิดขึ้นบนอุปกรณ์ที่รองรับ กลไกการรายงานจะรวบรวมข้อมูลที่จำเป็นจากบันทึกที่มีอยู่และนำเสนอในรูปแบบที่อ่านและวิเคราะห์ได้ง่าย เมื่อใช้รายงาน คุณสามารถรับข้อมูลที่จำเป็นเกี่ยวกับประสิทธิภาพของอุปกรณ์ ความปลอดภัยของเครือข่าย ทรัพยากรที่เข้าชมบ่อยที่สุด และอื่นๆ ได้อย่างรวดเร็ว มีตัวเลือกมากมาย รายงานยังสามารถใช้เพื่อวิเคราะห์สถานะของเครือข่ายและอุปกรณ์ที่รองรับในระยะเวลาอันยาวนาน บ่อยครั้งสิ่งเหล่านี้เป็นสิ่งที่ขาดไม่ได้ในการตรวจสอบเหตุการณ์ด้านความปลอดภัยต่างๆ
การแจ้งเตือนช่วยให้คุณตอบสนองต่อภัยคุกคามต่างๆ ที่เกิดขึ้นบนเครือข่ายได้อย่างรวดเร็ว ระบบจะสร้างการแจ้งเตือนเมื่อบันทึกปรากฏขึ้นซึ่งตรงตามเงื่อนไขที่กำหนดไว้ล่วงหน้า เช่น การตรวจหาไวรัส การใช้ประโยชน์จากช่องโหว่ต่างๆ และอื่นๆ การแจ้งเตือนเหล่านี้สามารถดูได้ในเว็บอินเทอร์เฟซ FortiAnalyzer และคุณสามารถกำหนดค่าการส่งผ่านโปรโตคอล SNMP ไปยังเซิร์ฟเวอร์ syslog และไปยังที่อยู่อีเมลที่ระบุได้
การเก็บถาวรช่วยให้คุณสามารถจัดเก็บสำเนาของเนื้อหาต่างๆ ที่ไหลผ่านเครือข่ายบน FortiAnalyzer โดยปกติจะใช้ร่วมกับกลไก DLP เพื่อจัดเก็บไฟล์ต่างๆ ที่อยู่ภายใต้กฎที่แตกต่างกันของกลไก นอกจากนี้ยังมีประโยชน์สำหรับการตรวจสอบเหตุการณ์ด้านความปลอดภัยต่างๆ อีกด้วย
คุณสมบัติที่น่าสนใจอีกประการหนึ่งคือความสามารถในการใช้โดเมนผู้ดูแลระบบ เทคโนโลยีนี้ช่วยให้คุณสร้างกลุ่มอุปกรณ์ตามเกณฑ์ต่างๆ เช่น ประเภทอุปกรณ์ ที่ตั้งทางภูมิศาสตร์ และอื่นๆ การสร้างกลุ่มอุปกรณ์ดังกล่าวมีจุดประสงค์ดังต่อไปนี้:
- การจัดกลุ่มอุปกรณ์ตามคุณลักษณะที่คล้ายคลึงกันเพื่อความสะดวกในการตรวจสอบและการจัดการ เช่น อุปกรณ์จะถูกจัดกลุ่มตามที่ตั้งทางภูมิศาสตร์ คุณต้องค้นหาข้อมูลบางอย่างในบันทึกสำหรับอุปกรณ์ที่อยู่ในกลุ่มเดียวกัน แทนที่จะกรองบันทึกอย่างระมัดระวัง คุณเพียงแค่ดูบันทึกสำหรับโดเมนการดูแลระบบที่จำเป็นและค้นหาข้อมูลที่จำเป็น
- เพื่อแยกความแตกต่างการเข้าถึงระดับผู้ดูแลระบบ - โดเมนการดูแลระบบแต่ละโดเมนสามารถมีผู้ดูแลระบบได้ตั้งแต่หนึ่งคนขึ้นไปที่มีสิทธิ์เข้าถึงเฉพาะโดเมนการดูแลระบบนี้เท่านั้น
- จัดการพื้นที่ดิสก์และนโยบายการจัดเก็บข้อมูลสำหรับข้อมูลอุปกรณ์อย่างมีประสิทธิภาพ - แทนที่จะสร้างการกำหนดค่าการจัดเก็บข้อมูลเดียวสำหรับอุปกรณ์ทั้งหมด โดเมนการดูแลระบบช่วยให้คุณสามารถตั้งค่าการกำหนดค่าที่เหมาะสมมากขึ้นสำหรับแต่ละกลุ่มของอุปกรณ์ สิ่งนี้มีประโยชน์หากคุณมีอุปกรณ์หลายเครื่องและจากอุปกรณ์กลุ่มหนึ่งคุณต้องจัดเก็บข้อมูลเป็นเวลาหนึ่งปีและจากอีก 3 ปี ดังนั้น คุณสามารถจัดสรรพื้นที่ดิสก์ที่เหมาะสมสำหรับแต่ละกลุ่ม - สำหรับกลุ่มที่สร้างบันทึกจำนวนมาก จัดสรรพื้นที่มากขึ้น และสำหรับกลุ่มอื่น - พื้นที่น้อยลง
FortiAnalyzer สามารถทำงานได้ในสองโหมด - Analyzer และ Collector โหมดการทำงานจะถูกเลือกขึ้นอยู่กับความต้องการของแต่ละบุคคลและโทโพโลยีเครือข่าย
เมื่อ FortiAnalyzer ทำงานในโหมดตัววิเคราะห์ FortiAnalyzer จะทำหน้าที่เป็นผู้รวบรวมบันทึกหลักจากผู้รวบรวมบันทึกตั้งแต่หนึ่งคนขึ้นไป ตัวรวบรวมบันทึกเป็นทั้ง FortiAnalyzer ในโหมด Collector และอุปกรณ์อื่น ๆ ที่ FortiAnalyzer รองรับ (รายการของพวกเขาแสดงไว้ด้านบนในรูป) โหมดการทำงานนี้ถูกใช้เป็นค่าเริ่มต้น
เมื่อ FortiAnalyzer ทำงานในโหมด Collector มันจะรวบรวมบันทึกจากอุปกรณ์อื่นแล้วส่งต่อไปยังอุปกรณ์อื่น เช่น FortiAnalyzer ในโหมด Analyzer หรือ Syslog ในโหมด Collector นั้น FortiAnalyzer ไม่สามารถใช้ฟีเจอร์ส่วนใหญ่ได้ เช่น การรายงานและการแจ้งเตือน เนื่องจากจุดประสงค์หลักคือการรวบรวมและส่งต่อบันทึก
การใช้อุปกรณ์ FortiAnalyzer หลายเครื่องในโหมดที่แตกต่างกันสามารถเพิ่มประสิทธิภาพการทำงานได้ - FortiAnalyzer ในโหมด Collector รวบรวมบันทึกจากอุปกรณ์ทั้งหมดและส่งไปยังเครื่องวิเคราะห์เพื่อการวิเคราะห์ในภายหลัง ซึ่งช่วยให้ FortiAnalyzer ในโหมดเครื่องวิเคราะห์สามารถประหยัดทรัพยากรที่ใช้ในการรับบันทึกจากอุปกรณ์หลายเครื่องและมุ่งเน้นไปที่ การประมวลผลบันทึก
FortiAnalyzer รองรับภาษาคิวรี SQL ที่ประกาศสำหรับการบันทึกและการรายงาน ด้วยความช่วยเหลือของมัน บันทึกจะถูกนำเสนอในรูปแบบที่อ่านได้ นอกจากนี้ เมื่อใช้ภาษาคิวรีนี้ ก็มีการสร้างรายงานต่างๆ ขึ้นมา ความสามารถในการรายงานบางอย่างจำเป็นต้องมีความรู้เกี่ยวกับ SQL และฐานข้อมูล แต่ความสามารถในตัวของ FortiAnalyzer มักจะกำจัดความรู้นี้ เราจะพบสิ่งนี้อีกครั้งเมื่อเราพิจารณากลไกการรายงาน
FortiAnalyzer มีหลายรสชาติ นี่อาจเป็นอุปกรณ์ฟิสิคัลแยกต่างหาก เครื่องเสมือน - รองรับไฮเปอร์ไวเซอร์ที่แตกต่างกัน สามารถดูรายการทั้งหมดได้ใน . นอกจากนี้ยังสามารถปรับใช้ในโครงสร้างพื้นฐานเฉพาะ - AWS Azure, Google Cloud และอื่นๆ และตัวเลือกสุดท้ายคือ FortiAnalyzer Cloud ซึ่งเป็นบริการคลาวด์ของ Fortinet
ในบทต่อไป เราจะเตรียมเค้าโครงสำหรับงานภาคปฏิบัติเพิ่มเติม เพื่อไม่ให้พลาดกดติดตามเรา .
คุณยังสามารถติดตามการอัปเดตได้จากแหล่งข้อมูลต่อไปนี้:
ที่มา: will.com