Kumusta Mga Kaibigan! Ikinalulugod naming tanggapin ka sa aming bagong FortiAnalyzer na kurso sa Pagsisimula. Sa kurso Tiningnan na namin ang pag-andar ng FortiAnalyzer, ngunit napagdaanan namin ito sa halip na mababaw. Ngayon gusto kong sabihin sa iyo nang mas detalyado tungkol sa produktong ito, tungkol sa mga layunin, layunin at kakayahan nito. Ang kursong ito ay hindi dapat kasing dami ng huli, ngunit umaasa ako na ito ay magiging kawili-wili at nagbibigay-kaalaman.
Dahil ang aralin ay naging ganap na teoretikal, para sa iyong kaginhawahan ay nagpasya kaming ipakita din ito sa format ng artikulo.
Sa kursong ito sasakupin namin ang mga sumusunod na punto:
- Pangkalahatang impormasyon tungkol sa produkto, layunin nito, mga gawain at pangunahing tampok
- Maghanda tayo ng isang layout, sa panahon ng paghahanda, titingnan natin ang isang detalyadong pagtingin sa paunang pagsasaayos ng FortiAnalyzer
- Kilalanin natin ang mekanismo para sa pag-iimbak, pagproseso at pag-filter ng mga log para sa madaling paghahanap, at isaalang-alang din ang mekanismo ng FortiView, na nagpapakita ng visual na impormasyon tungkol sa estado ng network sa anyo ng iba't ibang mga graph, diagram at iba pang mga widget.
- Tingnan natin ang proseso ng paggawa ng mga umiiral nang ulat, at matutunan din kung paano gumawa ng sarili mong mga ulat at mag-edit ng mga kasalukuyang ulat.
- Isaalang-alang natin ang mga pangunahing isyu na may kaugnayan sa pangangasiwa ng FortiAnalyzer
- Pag-usapan natin muli ang scheme ng paglilisensya - napag-usapan ko na ito sa aralin 11 ng kurso. , ngunit tulad ng sinasabi nila, ang pag-uulit ay ang ina ng pag-aaral.
Ang pangunahing layunin ng FortiAnalyzer ay ang sentralisadong imbakan ng mga log mula sa isa o higit pang Fortinet device, pati na rin ang kanilang pagproseso at pagsusuri. Nagbibigay-daan ito sa mga administrator ng seguridad na subaybayan ang iba't ibang network at mga kaganapan sa seguridad mula sa isang lugar, mabilis na makuha ang kinakailangang impormasyon mula sa mga log at widget, at bumuo ng mga ulat sa lahat o partikular na device.
Ang listahan ng mga device kung saan maaaring makatanggap ang FortiAnalyzer ng mga log at pag-aralan ang mga ito ay ipinakita sa figure sa ibaba.
May tatlong pangunahing tampok ang FortiAnalyzer: pag-uulat, mga alerto, at pag-archive. Tingnan natin ang bawat isa sa kanila.
Pag-uulat - Nagbibigay ang mga ulat ng visual na representasyon ng mga kaganapan sa network, mga kaganapan sa seguridad, at iba't ibang aktibidad na nagaganap sa mga sinusuportahang device. Kinokolekta ng mekanismo ng pag-uulat ang kinakailangang data mula sa mga umiiral nang log at ipinapakita ang mga ito sa isang form na madaling basahin at pag-aralan. Gamit ang mga ulat, maaari mong mabilis na makuha ang kinakailangang impormasyon tungkol sa pagganap ng device, seguridad ng network, ang pinakabinibisitang mga mapagkukunan, at iba pa. Mayroong maraming mga pagpipilian. Magagamit din ang mga ulat upang suriin ang katayuan ng network at mga sinusuportahang device sa loob ng mahabang panahon. Kadalasan ang mga ito ay kailangang-kailangan kapag nag-iimbestiga sa iba't ibang insidente sa seguridad.
Nagbibigay-daan sa iyo ang mga alerto na mabilis na tumugon sa iba't ibang banta na nagaganap sa network. Ang system ay bumubuo ng mga alerto kapag lumitaw ang mga log na nakakatugon sa paunang na-configure na mga kondisyon - pagtuklas ng virus, pagsasamantala sa iba't ibang mga kahinaan, at iba pa. Ang mga alertong ito ay makikita sa FortiAnalyzer web interface, at maaari mong i-configure ang kanilang pagpapadala sa pamamagitan ng SNMP protocol, sa syslog server, at gayundin sa mga partikular na email address.
Binibigyang-daan ka ng pag-archive na mag-imbak ng mga kopya ng iba't ibang nilalaman na dumadaloy sa network sa FortiAnalyzer. Ito ay karaniwang ginagamit kasabay ng DLP engine upang mag-imbak ng iba't ibang mga file na nasa ilalim ng iba't ibang mga patakaran ng engine. Maaari rin itong maging kapaki-pakinabang para sa pagsisiyasat ng iba't ibang insidente sa seguridad.
Ang isa pang kawili-wiling tampok ay ang kakayahang gumamit ng mga administratibong domain. Binibigyang-daan ka ng teknolohiyang ito na lumikha ng mga pangkat ng mga device batay sa iba't ibang pamantayan - mga uri ng device, heyograpikong lokasyon, at iba pa. Ang paglikha ng naturang mga pangkat ng device ay nagsisilbi sa mga sumusunod na layunin:
- Pagpapangkat ng mga device batay sa mga katulad na katangian para sa kadalian ng pagsubaybay at pamamahalaβhalimbawa, ang mga device ay pinagsama ayon sa heyograpikong lokasyon. Kailangan mong maghanap ng ilang impormasyon sa mga log para sa mga device na matatagpuan sa parehong grupo. Sa halip na maingat na i-filter ang mga log, tingnan mo lang ang mga log para sa kinakailangang administratibong domain at hanapin ang kinakailangang impormasyon.
- Upang pag-iba-ibahin ang administratibong pag-access - bawat administratibong domain ay maaaring magkaroon ng isa o higit pang mga administrator na may access lamang sa pang-administratibong domain na ito
- Mahusay na pamahalaan ang disk space at mga patakaran sa storage para sa data ng device - Sa halip na lumikha ng isang configuration ng storage para sa lahat ng device, binibigyang-daan ka ng mga administratibong domain na magtakda ng mas naaangkop na mga configuration para sa mga indibidwal na grupo ng mga device. Maaari itong maging kapaki-pakinabang kung mayroon kang ilang device, at mula sa isang pangkat ng mga device kailangan mong mag-imbak ng data sa loob ng isang taon, at mula sa isa pa - 3 taon. Alinsunod dito, maaari kang maglaan ng angkop na puwang sa disk para sa bawat grupo - para sa isang pangkat na bumubuo ng isang malaking bilang ng mga log, maglaan ng mas maraming espasyo, at para sa isa pang grupo - mas kaunting espasyo.
Maaaring gumana ang FortiAnalyzer sa dalawang mode - Analyzer at Collector. Ang operating mode ay pinili depende sa indibidwal na mga kinakailangan at network topology.
Kapag ang FortiAnalyzer ay gumagana sa Analyzer mode, ito ay gumaganap bilang pangunahing aggregator ng mga log mula sa isa o higit pang mga log collector. Ang mga kolektor ng log ay parehong FortiAnalyzer sa Collector mode at iba pang mga device na sinusuportahan ng FortiAnalyzer (ang kanilang listahan ay ipinakita sa itaas sa figure). Ang operating mode na ito ay ginagamit bilang default.
Kapag tumakbo ang FortiAnalyzer sa Collector mode, nangongolekta ito ng mga log mula sa iba pang device at pagkatapos ay ipapasa ang mga ito sa isa pang device, gaya ng FortiAnalyzer sa Analyzer o Syslog mode. Sa Collector mode, hindi magagamit ng FortiAnalyzer ang karamihan sa mga feature, gaya ng pag-uulat at mga alerto, dahil ang pangunahing layunin nito ay mangolekta at magpasa ng mga log.
Ang paggamit ng maraming FortiAnalyzer na device sa iba't ibang mode ay maaaring magpapataas ng produktibidad - Kinokolekta ng FortiAnalyzer sa Collector mode ang mga log mula sa lahat ng device at ipinapadala ang mga ito sa Analyzer para sa kasunod na pagsusuri, na nagbibigay-daan sa FortiAnalyzer sa Analyzer mode na i-save ang mga mapagkukunang ginugol sa pagtanggap ng mga log mula sa maraming device at ganap na tumutok sa pagpoproseso ng log.
Sinusuportahan ng FortiAnalyzer ang declarative SQL query language para sa pag-log at pag-uulat. Sa tulong nito, ang mga log ay ipinakita sa isang nababasa na anyo. Gayundin, gamit ang wika ng query na ito, iba't ibang mga ulat ang binuo. Ang ilang mga kakayahan sa pag-uulat ay nangangailangan ng ilang kaalaman sa SQL at database, ngunit kadalasang inaalis ng mga built-in na kakayahan ng FortiAnalyzer ang kaalamang ito. Makakaharap natin ito muli kapag isinasaalang-alang natin ang mekanismo ng pag-uulat.
Ang FortiAnalyzer mismo ay may iba't ibang lasa. Ito ay maaaring isang hiwalay na pisikal na aparato, isang virtual machine - iba't ibang mga hypervisor ang sinusuportahan, ang kanilang buong listahan ay matatagpuan sa . Maaari rin itong i-deploy sa mga espesyal na imprastraktura - AWS. Azure, Google Cloud at iba pa. At ang huling pagpipilian ay ang FortiAnalyzer Cloud, isang serbisyo sa ulap na ibinigay ng Fortinet.
Sa susunod na aralin ay maghahanda tayo ng layout para sa karagdagang praktikal na gawain. Upang hindi ito makaligtaan, mag-subscribe sa aming .
Maaari mo ring sundin ang mga update sa mga sumusunod na mapagkukunan:
Pinagmulan: www.habr.com