Привіт, друзі! Ми раді вітати вас на нашому новому курсі FortiAnalyzer Getting Started. На курсі ми вже розглядали функціонал FortiAnalyzer, але пройшлися ним досить поверхово. Зараз я хочу детальніше розповісти про цей продукт, про його цілі, завдання та можливості. Цей курс має вийти не таким об'ємним, як минулий, але я сподіваюся, що він буде цікавим та пізнавальним.
Оскільки урок вийшов повністю теоретичним, для вашої зручності ми вирішили подати його також у форматі статті.
У ході цього курсу ми розглянемо такі моменти:
- Загальні відомості про продукт, його призначення, задачі, що вирішуються, і ключові особливості
- Підготуємо макет, під час підготовки докладно розглянемо початкову конфігурацію FortiAnalyzer
- Познайомимося з механізмом зберігання, обробки та фільтрації логів для їх зручного пошуку, а також розглянемо механізм FortiView, який представляє наочну інформацію про стан мережі у вигляді різних графіків, діаграм та інших віджетів
- Розглянемо процес створення існуючих звітів, а також навчимося створювати власні звіти та редагувати існуючі звіти
- Пройдемося з основних питань, пов'язаних з адмініструванням FortiAnalyzer'а
- Ще раз обговоримо схему ліцензування — я вже розповідав про неї у 11 уроці курсу але, як кажуть, повторення - мати вчення.
Основне призначення FortiAnalyzer - централізоване зберігання логів з одного або кількох пристроїв компанії Fortinet, а також їх обробка та аналіз. Це дозволяє адміністраторам безпеки стежити за різними мережевими подіями та подіями безпеки з одного місця, швидко отримувати необхідну інформацію з логів та віджетів, а також будувати звіти по всіх пристроях, що їх цікавлять.
Список пристроїв, з яких FortiAnalyzer може приймати логи та аналізувати їх, представлений нижче.
У FortiAnalyzer виділяють три ключові особливості - звітність, оповіщення, архівація. Розглянемо кожну їх.
Звітність — звіти забезпечують наочне представлення подій, подій безпеки, різних активностей, що відбуваються на підтримуваних пристроях. Механізм звітності збирає необхідні дані з наявних логів і представляє їх у зручному для читання та аналізу вигляді. За допомогою звітів можна швидко отримати необхідну інформацію про продуктивність пристроїв, безпеку мережі, найбільш відвідувані ресурси і так далі. Варіантів дуже багато. Також звіти можна використовувати для аналізу стану мережі та підтримуваних пристроїв протягом тривалого часу. Досить часто вони бувають незамінними під час розслідування різних інцидентів безпеки.
Оповіщення дають змогу швидко реагувати на різні загрози, що відбуваються в мережі. Система генерує оповіщення, коли з'являються логи, що задовольняють заздалегідь налагодженим умовам - виявлення вірусу, експлуатація різних вразливостей і так далі. Дані оповіщення можна побачити у веб-інтерфейсі FortiAnalyzer, а також налаштувати їх відправлення за протоколом SNMP, на syslog сервер, а також на певні email адреси.
Архівація дозволяє зберігати на FortiAnalyzer копії різного контенту, що проходить через мережу. Зазвичай це використовується разом із механізмом DLP для зберігання різних файлів, які під різні правила даного механізму. Це також може бути корисним для розслідування різноманітних інцидентів безпеки.
Ще одна цікава особливість – можливість використання адміністративних доменів. Ця технологія дозволяє створювати групи пристроїв за різними ознаками – типи пристроїв, географічне розташування тощо. Створення таких груп пристроїв має такі цілі:
- Угруповання пристроїв за подібними ознаками для зручності моніторингу та управління - припустимо, пристрої згруповані за географічним розташуванням. Вам потрібно знайти будь-яку інформацію в логах по пристроях, що знаходяться в одній групі. Замість того, щоб ретельно відфільтровувати логи, ви просто дивіться логи за необхідним адміністративним доменом і шукаєте необхідну інформацію.
- Для розмежування адміністративного доступу - у кожного адміністративного домену може бути один або кілька адміністраторів, які мають доступ тільки до цього адміністративного домену.
- Ефективне керування дисковим простором і політиками зберігання даних, що отримуються з пристроїв, — замість того, щоб створювати єдину конфігурацію зберігання даних для всіх пристроїв, адміністративні домени дозволяють встановлювати більш відповідні конфігурації для окремих груп пристроїв. Це може бути корисним у тому випадку, якщо у вас кілька пристроїв, і з однієї групи пристроїв вам необхідно зберігати дані рік, а з іншого – 3 роки. Відповідно, під кожну групу можна виділити відповідний дисковий простір - для групи, що генерує велику кількість балок, виділити більше місця, а для іншої групи - менше місця.
FortiAnalyzer може працювати у двох режимах – Analyzer та Collector. Режим роботи вибирається залежно від індивідуальних вимог та топології мережі.
Коли FortiAnalyzer працює в режимі Analyzer, він виступає як основний агрегатор логів з одного або декількох збирачів логів. Складачами логів є як FortiAnalyzer в режимі Collector, так і інші пристрої, які підтримуються FortiAnalyzer (їх перелік був наведений вище на малюнку). Цей режим роботи використовується за замовчуванням.
Коли FortiAnalyzer працює в режимі Collector, він збирає логи з інших пристроїв і потім пересилає їх на інший пристрій, як FortiAnalyzer в режимі Analyzer або Syslog. У режимі Collector FortiAnalyzer не може використовувати більшість функцій, таких як звітність та оповіщення, оскільки його головна мета – збирати та пересилати логи.
Використовуючи кілька пристроїв FortiAnalyzer в різних режимах можна збільшити продуктивність - FortiAnalyzer в режимі Collector збирає логи з усіх пристроїв, і пересилає їх на Analyzer для подальшого аналізу, що дозволяє FortiAnalyzer в режимі Analyzer економити ресурси, що витрачаються на прийом логів з безліччю обробці логів.
FortiAnalyzer підтримує декларативну мову запитів SQL для логування та звітності. З його допомогою логи видаються у читальному вигляді. Також за допомогою мови запитів будуються різні звіти. Для деяких можливостей звітування потрібні певні знання SQL та баз даних, але часто вбудовані можливості FortiAnalyzer дозволяють обійтися без даних знань. Ми ще зіткнемося з цим, коли розглядатимемо механізм звітності.
Сам FortiAnalyzer може бути представлений у кількох варіантах. Це може бути окремий фізичний пристрій, віртуальна машина - підтримуються різні гіпервізори, їх повний перелік можна знайти в . Також його можна розгорнути в спеціалізованих інфраструктурах — AWS. Azure, Google Cloud та в інших. І останній варіант – FortiAnalyzer Cloud – хмарний сервіс, який надає компанія Fortinet.
На наступному уроці ми підготуємо макет для подальших практичних робіт. Щоб не пропустити його, підписуйтесь на наш .
Також ви можете стежити за оновленнями на наступних ресурсах:
Джерело: habr.com