Вітаю! Ласкаво просимо на дев'ятий урок курсу . На ми розглянули основні механізми контролю доступу користувачів різних ресурсів. Тепер перед нами інше завдання — необхідно аналізувати поведінку користувачів у мережі, а також налаштувати отримання даних, які можуть допомогти при розслідуванні різних інцидентів безпеки. Тому в цьому уроці ми розглянемо механізм логування та звітності. Для цього нам знадобиться FortiAnalyzer, який ми розгорнули на початку курсу. Потрібна теорія, а також відео урок доступні під катом.
У FotiGate логі поділяються на три типи: логі трафіку, логи подій та логи безпеки. Вони ж у свою чергу поділяються на підтипи.
Логи трафіку записують інформацію про потік трафіку, такі як запити та відповіді, якщо вони є. Цей тип містить підтипи Forward, Local та Sniffer.
Підтип Forward містить інформацію про трафік, який FortiGate або прийняв, або відхилив відповідно до політиків міжмережевого екранування.
Підтип Local містить інформацію про трафік безпосередньо з IP адреси FortiGate та з IP адрес, з яких здійснюється адміністрування. Наприклад – підключення до веб-інтерфейсу FortiGate.
Підтип Sniffer містить логі трафіку, отриманого за допомогою дзеркалювання трафіку.
Логи подій містять системні або адміністративні події, такі як додавання або зміна параметрів, встановлення і розрив VPN тунелів, події динамічної маршрутизації і так далі. Всі підтипи представлені нижче.
І третій тип є логі безпеки. Дані логи записуються події, пов'язані з вірусними атаками, відвідуваннями заборонених ресурсів, використанням заборонених додатків і так далі. Повний список також представлений на малюнку нижче.
Зберігати логи можна в різних місцях як на самому FortiGate, так і за його межами. Зберігання логів на FortiGate є локальним логуванням. Залежно від пристрою зберігати логи можна або у флеш-пам'яті пристрою, або на жорсткому диску. Як правило, моделі від middle мають жорсткий диск. Моделі з жорстким диском відрізнити досить просто - закінчується одиниця. Наприклад – FortiGate 100E йде без жорсткого диска, а FortiGate 101E – з жорстким диском.
Молодші і старі моделі зазвичай жорсткого диска не мають. У такому разі для запису логів використовується флеш-пам'ять. Однак варто враховувати, що постійний запис логів у флеш-пам'ять може скоротити її ефективність та термін служби. Тому запис логів у флеш-пам'ять за замовчуванням вимкнено. Вмикати її рекомендується лише для логування подій під час вирішення конкретних проблем.
При інтенсивному запису логів, неважливо, на жорсткий диск або флеш-пам'ять — продуктивність пристрою буде знижуватися.
Досить поширене зберігання логів на віддалених серверах. FortiGate може зберігати логи на серверах Syslog, на FortiAnalyzer або FortiManager. Також для зберігання ліг можна використовувати хмарний сервіс FortiCloud.
Syslog є сервером для центрального зберігання логів з мережевих пристроїв.
FortiCloud — це служба керування безпекою та зберігання логів, яка базується на передплаті. З її допомогою можна віддалено зберігати логи та будувати відповідні звіти. Якщо у вас досить маленька мережа, вдалим рішенням може бути використання даного хмарного сервісу, а не покупка додаткового обладнання. Існує безкоштовна версія FortiCloud, яка має на увазі тижневе зберігання логів. Після придбання підписки можна зберігати логи протягом року.
FortiAnalyzer та FortiManager є зовнішніми пристроями зберігання логів. Завдяки тому, що всі вони мають однакову операційну систему — FortiOS — інтеграція FortiGate з даними пристроями не становить жодних складнощів.
Але слід зазначити відмінності між пристроями FortiAnalyzer та FortiManager. Основною метою FortiManager є централізоване керування декількома пристроями FortiGate – тому обсяг пам'яті для зберігання логів на FortiManager істотно менший, ніж на FortiAnalyzer (якщо, звичайно, порівнювати моделі з одного цінового сегмента).
Основною метою FortiAnalyzer є збір і аналіз логів. Тому саме роботу з ним ми далі розглянемо на практиці.
Вся теорія, а також практична частина представлені в даному відео уроці:
У наступному уроці ми розглянемо основні моменти, пов'язані з адмініструванням FortiGate. Щоб не пропустити його, слідкуйте за оновленнями на наступних каналах:
Джерело: habr.com