Merhaba arkadaşlar! Sizi yeni FortiAnalyzer Başlarken kursumuza davet etmekten mutluluk duyuyoruz. Kursta FortiAnalyzer'ın işlevselliğine zaten baktık, ancak bunu oldukça yüzeysel olarak inceledik. Şimdi size bu ürün hakkında, amaçları, hedefleri ve yetenekleri hakkında daha detaylı bilgi vermek istiyorum. Bu ders bir önceki kadar kapsamlı olmamalı ama ilgi çekici ve bilgilendirici olacağını umuyorum.
Dersin tamamen teorik olduğu ortaya çıktığından, size kolaylık sağlamak için onu makale formatında da sunmaya karar verdik.
Bu kurs sırasında aşağıdaki noktaları ele alacağız:
- Ürün, amacı, görevleri ve temel özellikleri hakkında genel bilgiler
- Bir düzen hazırlayalım, hazırlık sırasında FortiAnalyzer'ın ilk konfigürasyonuna detaylı bir şekilde göz atacağız
- Kolay arama için günlükleri saklama, işleme ve filtreleme mekanizmasını tanıyalım ve ayrıca ağın durumu hakkında çeşitli grafikler, diyagramlar ve diğer widget'lar biçiminde görsel bilgiler sunan FortiView mekanizmasını da ele alalım.
- Mevcut raporları oluşturma sürecine bakalım ve ayrıca kendi raporlarınızı nasıl oluşturacağınızı ve mevcut raporları nasıl düzenleyeceğinizi öğrenelim
- FortiAnalyzer yönetimiyle ilgili ana konuları inceleyelim
- Lisans planını tekrar tartışalım - bundan kursun 11. dersinde zaten bahsetmiştim. ama dedikleri gibi tekrar öğrenmenin anasıdır.
FortiAnalyzer'ın temel amacı, bir veya daha fazla Fortinet cihazından gelen günlüklerin merkezi olarak depolanmasının yanı sıra bunların işlenmesi ve analiz edilmesidir. Bu, güvenlik yöneticilerinin çeşitli ağ ve güvenlik olaylarını tek bir yerden izlemesine, günlüklerden ve widget'lardan gerekli bilgileri hızlı bir şekilde almasına ve tüm veya belirli cihazlar hakkında raporlar oluşturmasına olanak tanır.
FortiAnalyzer'ın logları alıp analiz edebileceği cihazların listesi aşağıdaki şekilde sunulmuştur.
FortiAnalyzer'ın üç temel özelliği vardır: raporlama, uyarılar ve arşivleme. Her birine bakalım.
Raporlama - Raporlar, desteklenen cihazlarda meydana gelen ağ olaylarının, güvenlik olaylarının ve çeşitli etkinliklerin görsel bir temsilini sağlar. Raporlama mekanizması, mevcut loglardan gerekli verileri toplayarak okunması ve analiz edilmesi kolay bir biçimde sunar. Raporları kullanarak cihaz performansı, ağ güvenliği, en çok ziyaret edilen kaynaklar vb. hakkında gerekli bilgileri hızlı bir şekilde alabilirsiniz. Çok fazla seçenek var. Raporlar ayrıca ağın ve desteklenen cihazların durumunu uzun bir süre boyunca analiz etmek için de kullanılabilir. Çoğu zaman çeşitli güvenlik olaylarını araştırırken vazgeçilmezdirler.
Uyarılar, ağda meydana gelen çeşitli tehditlere hızlı bir şekilde yanıt vermenizi sağlar. Sistem, önceden yapılandırılmış koşulları (virüs tespiti, çeşitli güvenlik açıklarından yararlanma vb.) karşılayan günlükler göründüğünde uyarılar üretir. Bu uyarılar FortiAnalyzer web arayüzünde görülebilir ve bunların SNMP protokolü aracılığıyla sistem günlüğü sunucusuna ve ayrıca belirli e-posta adreslerine gönderilmesini yapılandırabilirsiniz.
Arşivleme, ağ üzerinden akan çeşitli içeriklerin kopyalarını FortiAnalyzer'da saklamanıza olanak tanır. Bu genellikle motorun farklı kurallarına giren çeşitli dosyaları depolamak için DLP motoruyla birlikte kullanılır. Ayrıca çeşitli güvenlik olaylarını araştırmak için de yararlı olabilir.
Bir başka ilginç özellik de yönetim alanlarını kullanma yeteneğidir. Bu teknoloji, çeşitli kriterlere (cihaz türleri, coğrafi konum vb.) dayalı olarak cihaz grupları oluşturmanıza olanak tanır. Bu tür cihaz gruplarının oluşturulması aşağıdaki amaçlara hizmet eder:
- İzleme ve yönetim kolaylığı için cihazları benzer özelliklere göre gruplandırma; örneğin cihazlar coğrafi konuma göre gruplandırılır. Aynı grupta yer alan cihazlar için loglarda bazı bilgileri bulmanız gerekmektedir. Günlükleri dikkatli bir şekilde filtrelemek yerine, yalnızca gerekli yönetim alanına ilişkin günlüklere bakar ve gerekli bilgileri ararsınız.
- Yönetici erişimini farklılaştırmak için - her bir yönetici etki alanı, yalnızca bu yönetim etki alanına erişimi olan bir veya daha fazla yöneticiye sahip olabilir
- Cihaz verileri için disk alanını ve depolama politikalarını verimli bir şekilde yönetin - Tüm cihazlar için tek bir depolama yapılandırması oluşturmak yerine, yönetim alanları ayrı ayrı cihaz grupları için daha uygun yapılandırmalar ayarlamanıza olanak tanır. Birkaç cihazınız varsa ve bir grup cihazdan bir yıl boyunca, diğerinden ise 3 yıl boyunca veri depolamanız gerekiyorsa bu yararlı olabilir. Buna göre, her grup için uygun disk alanı ayırabilirsiniz - çok sayıda günlük oluşturan bir grup için daha fazla alan ayırabilirsiniz ve başka bir grup için - daha az alan ayırabilirsiniz.
FortiAnalyzer iki modda çalışabilir: Analizör ve Toplayıcı. Çalışma modu, bireysel gereksinimlere ve ağ topolojisine bağlı olarak seçilir.
FortiAnalyzer Analizör modunda çalıştığında, bir veya daha fazla günlük toplayıcıdan gelen günlüklerin birincil toplayıcısı olarak görev yapar. Günlük toplayıcılar, hem Toplayıcı modundaki FortiAnalyzer hem de FortiAnalyzer tarafından desteklenen diğer cihazlardır (bunların listesi yukarıdaki şekilde gösterilmiştir). Bu çalışma modu varsayılan olarak kullanılır.
FortiAnalyzer, Toplayıcı modunda çalıştığında, diğer cihazlardan günlükleri toplar ve ardından bunları Analizör veya Syslog modundaki FortiAnalyzer gibi başka bir cihaza iletir. Toplayıcı modunda FortiAnalyzer, asıl amacı günlükleri toplamak ve iletmek olduğundan raporlama ve uyarılar gibi çoğu özelliği kullanamaz.
Farklı modlarda birden fazla FortiAnalyzer cihazı kullanmak verimliliği artırabilir - Toplayıcı modundaki FortiAnalyzer, tüm cihazlardan günlükleri toplar ve bunları daha sonraki analiz için Analizöre gönderir; bu da Analizör modundaki FortiAnalyzer'ın, birden fazla cihazdan günlük almak için harcanan kaynaklardan tasarruf etmesine ve tamamen odaklanmasına olanak tanır. günlük işleme.
FortiAnalyzer, günlük kaydı ve raporlama için bildirimsel SQL sorgu dilini destekler. Onun yardımıyla günlükler okunabilir bir biçimde sunulur. Ayrıca bu sorgulama dili kullanılarak çeşitli raporlar oluşturulmaktadır. Bazı raporlama yetenekleri bir miktar SQL ve veritabanı bilgisi gerektirir, ancak FortiAnalyzer'ın yerleşik yetenekleri çoğu zaman bu bilgiyi ortadan kaldırır. Raporlama mekanizmasını ele aldığımızda yine bununla karşılaşacağız.
FortiAnalyzer'ın çeşitli çeşitleri mevcuttur. Bu ayrı bir fiziksel cihaz, bir sanal makine olabilir; farklı hipervizörler desteklenir, bunların tam listesi şurada bulunabilir: . Ayrıca özel altyapılarda da (AWS) dağıtılabilir. Azure, Google Cloud ve diğerleri. Son seçenek ise Fortinet tarafından sağlanan bir bulut hizmeti olan FortiAnalyzer Cloud'dur.
Bir sonraki derste daha ileri pratik çalışmalar için bir düzen hazırlayacağız. Kaçırmamak için abone olun .
Güncellemeleri aşağıdaki kaynaklardan da takip edebilirsiniz:
Kaynak: habr.com