ทักทาย! ยินดีต้อนรับสู่บทเรียนที่เก้าของหลักสูตร . บน เราตรวจสอบกลไกพื้นฐานในการควบคุมการเข้าถึงทรัพยากรต่างๆ ของผู้ใช้ ตอนนี้เรามีงานอื่น - เราต้องวิเคราะห์พฤติกรรมของผู้ใช้บนเครือข่ายและกำหนดค่าการรับข้อมูลที่สามารถช่วยในการตรวจสอบเหตุการณ์ด้านความปลอดภัยต่างๆ ดังนั้นในบทนี้เราจะดูกลไกการบันทึกและการรายงาน สำหรับสิ่งนี้ เราจะต้องมี FortiAnalyzer ซึ่งเราปรับใช้เมื่อเริ่มต้นหลักสูตร ทฤษฎีที่จำเป็นและบทเรียนวิดีโอมีพร้อมให้ใช้งานแล้ว
ใน FotiGate บันทึกจะถูกแบ่งออกเป็นสามประเภท: บันทึกการรับส่งข้อมูล บันทึกเหตุการณ์ และบันทึกความปลอดภัย ในทางกลับกันก็แบ่งออกเป็นประเภทย่อย
บันทึกการรับส่งข้อมูลจะบันทึกข้อมูลการไหลของการรับส่งข้อมูล เช่น คำขอและการตอบกลับ หากมี ประเภทนี้มีประเภทย่อย Forward, Local และ Sniffer
ประเภทย่อย Forward ประกอบด้วยข้อมูลเกี่ยวกับการรับส่งข้อมูลที่ FortiGate ยอมรับหรือปฏิเสธตามนโยบายไฟร์วอลล์
ประเภทย่อย Local ประกอบด้วยข้อมูลเกี่ยวกับการรับส่งข้อมูลโดยตรงจากที่อยู่ IP ของ FortiGate และจากที่อยู่ IP ที่ดำเนินการดูแลระบบ ตัวอย่างเช่น การเชื่อมต่อกับเว็บอินเตอร์เฟส FortiGate
ประเภทย่อย Sniffer มีบันทึกการรับส่งข้อมูลที่ได้รับโดยใช้การมิเรอร์การรับส่งข้อมูล
บันทึกเหตุการณ์ประกอบด้วยเหตุการณ์ของระบบหรือการดูแลระบบ เช่น การเพิ่มหรือการเปลี่ยนแปลงพารามิเตอร์ การสร้างและทำลายอุโมงค์ VPN กิจกรรมการกำหนดเส้นทางแบบไดนามิก และอื่นๆ ประเภทย่อยทั้งหมดแสดงในรูปด้านล่าง
และประเภทที่สามคือบันทึกความปลอดภัย บันทึกเหล่านี้จะบันทึกเหตุการณ์ที่เกี่ยวข้องกับการโจมตีของไวรัส การเข้าชมทรัพยากรต้องห้าม การใช้แอปพลิเคชันต้องห้าม และอื่นๆ รายการทั้งหมดแสดงอยู่ในภาพด้านล่างด้วย
คุณสามารถจัดเก็บบันทึกไว้ในที่ต่างๆ ได้ทั้งบน FortiGate และภายนอก การจัดเก็บบันทึกบน FortiGate ถือเป็นการบันทึกในเครื่อง บันทึกสามารถจัดเก็บไว้ในหน่วยความจำแฟลชของอุปกรณ์หรือในฮาร์ดไดรฟ์ ทั้งนี้ขึ้นอยู่กับอุปกรณ์นั้นเอง ตามกฎแล้วรุ่นระดับกลางจะมีฮาร์ดไดรฟ์ รุ่นที่มีฮาร์ดไดรฟ์นั้นค่อนข้างแยกแยะได้ง่าย - มีหน่วยอยู่ที่ส่วนท้าย ตัวอย่างเช่น FortiGate 100E มาพร้อมกับฮาร์ดไดรฟ์ และ FortiGate 101E มาพร้อมกับฮาร์ดไดรฟ์
รุ่นที่อายุน้อยกว่าและรุ่นเก่ามักไม่มีฮาร์ดไดรฟ์ ในกรณีนี้ จะใช้หน่วยความจำแฟลชเพื่อบันทึกบันทึก อย่างไรก็ตาม ควรพิจารณาว่าการเขียนบันทึกลงในหน่วยความจำแฟลชอย่างต่อเนื่องสามารถลดประสิทธิภาพและอายุการใช้งานได้ ดังนั้นการเขียนบันทึกลงในหน่วยความจำแฟลชจึงถูกปิดใช้งานตามค่าเริ่มต้น ขอแนะนำให้เปิดใช้งานเฉพาะสำหรับการบันทึกเหตุการณ์ในขณะที่แก้ไขปัญหาเฉพาะ
เมื่อบันทึกบันทึกอย่างเข้มข้น ฮาร์ดไดรฟ์หรือหน่วยความจำแฟลชไม่สำคัญ ประสิทธิภาพของอุปกรณ์จะลดลง
เป็นเรื่องปกติที่จะจัดเก็บบันทึกบนเซิร์ฟเวอร์ระยะไกล FortiGate สามารถจัดเก็บบันทึกบนเซิร์ฟเวอร์ Syslog, FortiAnalyzer หรือ FortiManager คุณยังสามารถใช้บริการคลาวด์ FortiCloud เพื่อจัดเก็บบันทึก
Syslog เป็นเซิร์ฟเวอร์สำหรับจัดเก็บบันทึกจากอุปกรณ์เครือข่ายจากส่วนกลาง
FortiCloud เป็นบริการการจัดการความปลอดภัยและการจัดเก็บบันทึกตามการสมัครสมาชิก ด้วยความช่วยเหลือนี้ คุณสามารถจัดเก็บบันทึกจากระยะไกลและสร้างรายงานที่เหมาะสมได้ หากคุณมีเครือข่ายที่ค่อนข้างเล็ก วิธีแก้ปัญหาที่ดีอาจเป็นการใช้บริการคลาวด์นี้แทนที่จะซื้ออุปกรณ์เพิ่มเติม มี FortiCloud เวอร์ชันฟรีที่รวมพื้นที่จัดเก็บบันทึกรายสัปดาห์ หลังจากซื้อการสมัครสมาชิก คุณสามารถจัดเก็บบันทึกได้เป็นเวลาหนึ่งปี
FortiAnalyzer และ FortiManager เป็นอุปกรณ์จัดเก็บข้อมูลบันทึกภายนอก เนื่องจากพวกเขาทั้งหมดมีระบบปฏิบัติการเดียวกัน - FortiOS - การรวม FortiGate เข้ากับอุปกรณ์เหล่านี้ไม่ได้ทำให้เกิดปัญหาใด ๆ
อย่างไรก็ตาม มีความแตกต่างที่ควรทราบระหว่างอุปกรณ์ FortiAnalyzer และ FortiManager วัตถุประสงค์หลักของ FortiManager คือการจัดการแบบรวมศูนย์ของอุปกรณ์ FortiGate หลายเครื่อง ดังนั้น จำนวนหน่วยความจำสำหรับจัดเก็บบันทึกบน FortiManager จึงน้อยกว่า FortiAnalyzer อย่างมาก (หากแน่นอน เราจะเปรียบเทียบรุ่นจากกลุ่มราคาเดียวกัน)
วัตถุประสงค์หลักของ FortiAnalyzer คือการรวบรวมและวิเคราะห์บันทึกอย่างแม่นยำ ดังนั้นเราจะพิจารณาใช้งานจริงต่อไป
ทฤษฎีทั้งหมดรวมถึงภาคปฏิบัติจะถูกนำเสนอในบทเรียนวิดีโอนี้:
ในบทเรียนถัดไป เราจะพูดถึงพื้นฐานของการดูแลระบบ FortiGate เพื่อไม่ให้พลาดติดตามการอัพเดตได้ที่ช่องทางต่อไปนี้:
ที่มา: will.com